Les mauvaises pratiques

Malgré les évolutions en ce qui regarde la sécurité des systèmes d’information, ce genre d’exigences pendant la saisie des nouveaux mots de passes existent toujours:

  1. Le mot de passe doit contenir au moins un caractère spécial.
  2. Le mot de passe doit au moins contenir une lettre en majuscule.
  3. Le mot de passe doit au moins contenir un chiffre.

Sound's good, doesn't work

Ce genre de pratiques sont faites pour éviter qu’un « humain » ne devine votre mot passe et ne constituent aucune protection contre les outils d’attaques de type brute-force.

Exemple:

Nous avons par exemple une plate-forme qui demande un mot de passe entre 6 et 32 caractères, essayons d’utiliser les règles définies:

Inf0&3c

C’est un mot de passe respectant les 3 règles qu’on a définies au début, il est évident qu’il est difficile de s’en rappeler mais calculons le nombre de combinaisons possibles pour nous assurer de ça fiabilité, disons nous que l’attaquant sait qu’on utilise un mot de passe de 7 caractères, il y a aussi une grande probabilité que si vous êtes du Maroc que vous utilisiez un clavier français AZERTY, nous avons alors un clavier qui contient 142 caractères comme suit:

  • 26 lettres d’alphabet en minuscules.
  • 26 lettres d’alphabet en majuscules.
  • 10 chiffres.
  • 80 caractères spéciaux:
    • 39 caractères accentués minuscules et majuscules.
    • 30 symboles typographiques.
    • 6 symboles d’opérations arithmétiques.
    • 4 unités monétaires.
    • espace.

Notre mot de passe est constitué comme tel (à cause des règles imposées): 1 chiffre + un caractère spécial + une lettre majuscule + 4 caractères n’importe les quels.

Le nombre de combinaisons possible devient: [(10 + 80 + 26) × 7] + 142⁴ = 812 + 142⁴

Alors que dans le cas ou rien n’est imposé à l’utilisateur le nombre de combinaisons possible est: 142⁷

142⁷ >>> 142⁴ + 812

De là on peut comprendre que ce genre de pratiques affaiblissent les mots de passes des utilisateurs au lieu de les renforcer.

Les bonnes pratiques

Ne pas imposer le contenu du mot de passe

En plus que ça affaiblie les mots de passes contre les attaques de type brute-force, cela rend difficile à l’utilisateur de s’en souvenir et le force à le garder en claire quelque part sur son ordinateur, téléphone ou sur papiers (ou sur un service dont vous ne garantissez pas la sécurité).

Poussez l’utilisateur à choisir un mot de passe long

Comme on a pu le voir: plus le mot de passe est long plus une attaque de type brute-force prendra de temps puisque le nombre de combinaisons est: 142 à la puissance N qui est le nombre de caractères du mot de passe.

N’oublions pas qu’en fait l’assaillant ne connaît pas dans la réalité la longueur du mot de passe, ainsi si vous définissez pour votre plate-forme que le minimum est de 6 caractères il devra tester le nombre de combinaisons suivant:

combinaisons = 142⁶ + 142⁷ + 142⁸ + 142⁹ + 142¹⁰ + …. + jusqu’à 142 à la puissance N

Sachant que puisque 142ª⁺¹ >> 142ª, alors plus le nombre de caractères utilisés dans le mot de passe augmentent plus le nombre de combinaisons possibles augmentent exponentiellement.

Éviter les informations personnelles dans les mots de passes

Certains utilisateurs adoptent des mots de passes contenant des informations personnelles pour pouvoir s’en souvenir, il est donc nécessaire de:

  1. Informer l’utilisateur des risques de cette pratique.
  2. Comparer le mot de passe saisi par l’utilisateur avec les informations de profil que vous avez de lui avant de le valider.

Éviter les mots de passes existants dans les dictionnaires connus

Certains mots de passes comme:

Peuvent être découvert en quelques secondes puisque ils sont compris dans les dictionnaires connus, il est facile d’éviter ceux là car il suffit de vérifier si le mot passe existe dans les dictionnaires de mots de passes connus avant de les valider, en voici une liste: https://wiki.skullsecurity.org/Passwords#Password_dictionaries

passwords

P.s: vous pouvez vérifier si votre mot de passe existe dans un des dictionnaires connus sur https://infosec.ma/outil-verification-mots-de-passe/

Laisser un commentaire