Carnet de notes

Mot de passe fort

Je rage à chaque fois que je vois des règles complexes sur les mots de passe saisis. J’ai l’im­pres­sion qu’on a échoué à expliquer la sécu­rité.

Une fois qu’on exclut les mots de passe unique­ment en chiffres, il n’y a quasi­ment plus que la longueur du mot de passe qui compte. Vous voulez un mot de passe sûr avec unique­ment des lettres ? Il suffit d’ajou­ter un unique carac­tère supplé­men­taire. Autant dire pas grand chose quand on est déjà à 9 ou 10.

En réalité la diffé­rence est encore plus réduite que ça parce qu’en deman­dant d’ajou­ter des chiffres et symboles ce sont toujours les mêmes qui appa­raissent, mis à la fin ou en rempla­ce­ment des mêmes lettres (a qui donne @ par exemple).

Pire : Pour rete­nir un mot de passe complexe avec majus­cules, chiffres et symboles, l’uti­li­sa­teur risque de mettre quelque chose de connu ou déjà utilisé ailleurs. On est parfois dans le contre-produc­tif.

Si vous deviez utili­ser des règles de saisie du mot de passe, gardez n’en qu’une : la longueur. Le reste c’est de la litté­ra­ture.

Main­te­nant, et si vous chan­giez de stra­té­gie ? Aidez l’uti­li­sa­teur et expliquez-lui ce qu’il se passe au lieu de lui appor­ter des contraintes.

Commen­cez par lui propo­ser un mot de passe par défaut, avec une liste de mots connus et à ortho­graphe simple.

Propo­sez ensuite un indi­ca­teur pour la force du mot de passe. Là vous pouvez prendre en compte la longueur mais aussi la présence dans la base Have I Been Pwnd.

Une fois passé le strict mini­mum, c’est à l’uti­li­sa­teur de déci­der ce qu’il veut. Ne lui impo­sez pas un mot de passe de 12 carac­tères pour réali­ser un sondage sur la date de sa prochaine soirée entre amis.

Votre rôle c’est de lui donner les clefs pour faire son choix, pas de le faire à sa place.

L’in­di­ca­teur de complexité peut tout à fait avoir plusieurs paliers en fonc­tion de la présence de diffé­rentes classes de carac­tères. Vous pouvez aussi essayer de détec­ter des dates, le fait que le dernier carac­tère soit juste un chiffre ou un point d’ex­cla­ma­tion, et des suites un peu trop clas­siques comme 123 ou ou azerty.

Si vous détec­tez des espaces alors c’est proba­ble­ment une phrase (s’il y a des petits mots faci­le­ment recon­nais­sables comme « le », « la », « il », « ce », « est », etc. ) ou des suites de mots (dans le cas contraire). Vous pouvez là aussi adap­ter votre calcul de complexité et la longueur recom­man­dée.

Au bout d’une certaine résis­tance parlons unique­ment amélio­ra­tion.

Publié

dans

,

par

Éric

Étiquettes :

Commentaires

3 réponses à “Mot de passe fort”

  1. Avatar de vivi
    vivi

    Serait-il possible d’avoir plus d’indications sur le premier tableau? (Au moins la source)

    Répondre
    1. Avatar de Éric
      Éric

      C’est un tableau qui a beaucoup tourné sur Internet. Je serais bien incapable de retrouver la source initiale. Tu en as plusieurs versions facilement trouvables sur Google.

      Les valeurs elles-mêmes sont peu importantes parce que ça demande beaucoup d’hypothèses (une seule machine ou plusieurs ? de quelle puissance ? pour un particulier ou un état ?). L’échelle de comparaison entre les colonnes l’est plus

  2. Avatar de Sécurité de Have I Been Pwned? – Carnet de notes
    Sécurité de Have I Been Pwned? – Carnet de notes

    This Article was mentioned on n.survol.fr

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *