Crack this: Comment choisir des mots de passe forts et les garder de cette façon

nom d'utilisateur et mot de passe shutterstock

S'il y a une chose que les gens associent à la technologie moderne, ce sont les mots de passe. Ils sont partout et la plupart d'entre nous les utilisent pour des dizaines de choses chaque jour. Pourtant, la plupart des gens sont scandaleusement indifférents quant à la sécurité de leurs mots de passe. La plupart d'entre nous connaissent probablement quelqu'un qui utilise le même mot de passe pour tout , de son ordinateur et de son courrier électronique à son Facebook et à ses comptes bancaires - et ce mot de passe peut être quelque chose d'aussi évident que son anniversaire ou le nom de la rue où il a grandi. Et nous connaissons aussi probablement quelqu'un qui a une note autocollante sur le côté de son moniteur intitulée «Mots de passe» (en rouge, soulignée deux fois) avec une liste de tout, de Twitter à Netflix, juste à la vue de tous.

Ces pratiques peuvent sembler quelque chose de la génération de nos grands-parents, mais ce n'est pas tout à fait vrai: la semaine dernière, j'ai regardé un membre à part entière de la génération D essayer de passer d'un Samsung Galaxy S (euh, fascinant) à un HTC Rezound via son ordinateur portable ordinateur. Comment déplaçait-il tous ses mots de passe? Il avait un morceau de papier dans son portefeuille avec «tous ses mots de passe» - et par tout il voulait dire trois. Un pour le courrier électronique et les réseaux sociaux, un pour le courrier électronique de sa grande tante («Je le vérifie pour elle») et un autre pour tout le reste. Regardant par-dessus son épaule, tous les trois étaient des mots de tous les jours: mophandle, marmonner et Lillian. Devinez qui était sa tante?

Heureusement, il existe des moyens simples de rendre les mots de passe difficiles à deviner et faciles à retenir. Malheureusement, l'industrie de la technologie empêche parfois de les utiliser. Voici un aperçu des faiblesses courantes des mots de passe et des moyens d'améliorer vos mots de passe et votre sécurité en ligne.

Obscurité contre complexité

Un truisme courant à propos des mots de passe est qu'ils ne devraient jamais être faciles à deviner. La plupart des experts en technologie conviennent que personne ne devrait utiliser des détails sur eux-mêmes comme mot de passe: cela inclut les anniversaires, les adresses et les noms d'amis et de membres de la famille (y compris les parents, les frères et sœurs, les conjoints, les enfants et même les animaux de compagnie). De même, le mot de passe fait un mot de passe particulièrement médiocre - comme tous les autres mots de passe jetables couramment utilisés.

Ce conseil persistant est souvent interprété comme signifiant que les mots de passe doivent être obscurs, ou un terme que personne ne penserait jamais que vous choisiriez s'ils avaient un million d'années. Oui, obscur peut fonctionner - et c'est un sacré spectacle mieux que de choisir un mot de passe évident. Cependant, un mot de passe obscur ne vous protège que des personnes qui savent quelque chose sur vous. Il y a de fortes chances que la plupart des gens qui essaient de déchiffrer vos mots de passe ne vous connaissent pas.

La plupart des craquages ​​de mots de passe ne se produisent pas de la manière dont ils sont décrits dans les films, où Notre héros (ou The Villain) est assis devant un clavier, essaie une phrase ou deux, se frotte le menton, puis espionne une photo d'enfance sur le bureau. Ah! Tapez le mot magique et hop, la sécurité contournée. Dans le monde réel, la grande majorité du craquage des mots de passe est automatisée, les ordinateurs jetant littéralement chaque mot du dictionnaire (et même certains) sur un système dans l'espoir de trouver le terme correct. Cette approche peut fonctionner car les ordinateurs peuvent essayer les mots de passe beaucoup plus rapidement que les humains ne peuvent les saisir, et ils peuvent fonctionner 24 heures sur 24, 7 jours sur 7, sans pauses toilettes. Les craqueurs de mots de passe automatisés ne savent rien des utilisateurs qu'ils tentent de compromettre: c'est une approche par force brute.

Ainsi, il s'avère que la clé d'un mot de passe fort n'est pas son obscurité mais sa complexité  - des choses qui le rendent moins susceptible d'être deviné par un pirate de mot de passe automatisé. Cependant, créer un bon mot de passe complexe signifie savoir un peu comment les mots de passe sont brisés.

clé de mot de passe shutterstockRompre les mots de passe

En termes très généraux, les crackers de mots de passe ont généralement deux approches. La première consiste à essayer littéralement une liste pré-compilée de mots de passe possibles. Ceux-ci partent généralement de mots de passe très courants (comme mot de passe ou qwerty ) et évoluent vers des termes moins courants, et utilisent finalement une liste de mots compilée à partir d'un dictionnaire en ligne et d'autres sources. Cette approche est plus susceptible de trouver des mots de passe qui sont des mots valides ou des variantes sur eux, même s'ils sont obscurs.

Une autre approche de craquage de mot de passe consiste à essayer des séquences valides de lettres, de chiffres et de symboles, quelle que soit leur signification. Un cracker de mot de passe utilisant cette approche peut commencer par aaaaaaaa pour un mot de passe de huit caractères, puis essayer aaaaaaab puis aaaaaaac et ainsi de suite dans l'alphabet, en mélangeant des majuscules et des minuscules, et en ajoutant des chiffres et des symboles. Cette approche est plus susceptible de trouver des mots de passe «conviviaux» ou générés de manière aléatoire. Un mot de passe comme 4De78Hf1 n'est pas plus difficile à trouver de cette manière qu'un adolescent ne le serait.

Alors, quelles sont les chances qu'un mot de passe soit deviné? De nos jours, la plupart des systèmes permettent aux utilisateurs de créer des mots de passe à l'aide de lettres (majuscules et minuscules), de chiffres et d'une sélection de symboles. Les symboles autorisés varient souvent d'un système à l'autre (certains autorisent presque tout, d'autres n'en permettent qu'une poignée), mais pour nos besoins, supposons que cela signifie que chaque caractère d'un mot de passe peut être l'une des 80 valeurs environ - deux alphabets de 26 lettres chacun, dix chiffres, et 18 symboles. (En théorie, au moins 127 valeurs devraient être disponibles pour chaque caractère, mais en pratique, c'est un nombre plus petit.)

En utilisant une approche de force purement brute, cela signifie qu'il faudrait un maximum de 80 suppositions pour déterminer au hasard un mot de passe à un caractère. Un mot de passe à quatre caractères peut prendre plus de 40 millions de suppositions (80 × 80 × 80 × 80 = 40 960 000) et un mot de passe à huit caractères peut prendre plus de 1,6 quadrillion de suppositions (1 677 721 600 000 000).

Si un pirate de mot de passe était capable de faire 1 000 suppositions par seconde, il lui faudrait environ un mois pour exécuter toutes les combinaisons d'un mot de passe à quatre caractères, et plus de 53 000 ans pour exécuter toutes les combinaisons d'un mot de passe à 8 caractères. Cela semble assez sûr, non?

Eh bien pas vraiment. En termes purement statistiques, un pirate a 50/50 de chances de trouver le mot de passe en deux fois moins. Plus troublant, les gens qui fabriquent des crackers de mots de passe ont d'autres moyens d'améliorer leurs chances. Rappelez-vous comment le mot de passe  était l'un des pires mots de passe à utiliser? Devinez ce qui est aussi un très mauvais mot de passe? Passw0rd, en remplaçant un chiffre zéro par une lettre O. Tandis que les craqueurs de mots de passe exécutent leurs mots communs à partir d'un dictionnaire, ils essaient également des variantes communes de ces mots, en remplaçant les zéros pour les O, les signes @ et les 4 pour les A, 3 pour les E, 1 et! Pour I, 7 pour T, 5 pour S, et ainsi de suite. De même, 0qww294e est un mot de passe terrible - c'est juste un mot de passedécalé d'une ligne sur un clavier anglais standard. Ces techniques dépendent de la préférence des utilisateurs pour des mots de passe faciles à mémoriser. Malheureusement, en substituant (ou en mettant en majuscule) un ou deux caractères dans un terme facile à retenir, les gens rendent généralement leurs mots de passe plus obscurs, mais pas beaucoup plus sûrs. En fait, les mots de passe à huit caractères typiques sélectionnés par l'utilisateur avec une combinaison de casse, de nombres et de symboles n'ont généralement qu'environ 30 bits d'entropie, soit un peu plus d'un milliard de combinaisons possibles. Pourquoi? Parce que la liste des termes sur lesquels les gens basent leurs mots de passe est beaucoup plus petite que le total des combinaisons possibles de lettres, de chiffres et de symboles.

À quelle vitesse les mots de passe peuvent-ils être brisés? Essayer 1000 mots de passe par seconde peut sembler impossible - après tout, la plupart des services ont tendance à nous exclure de nos propres comptes si nous tapons un mot de passe trois ou quatre fois par erreur, réinitialisant souvent le mot de passe et nous obligeant à répondre aux questions de sécurité pour en créer un nouveau. Ces techniques de « passerelle » n'améliorer la sécurité des comptes, et d' ailleurs, sont également un excellent moyen aveuglante facile aux gens d'importuner. (Je ne peux pas vous dire combien de fois j'ai été exclu de mon compte iTunes par des attaques par mot de passe, mais c'est probablement plus d'une centaine.)

Cependant, les attaquants désireux de casser les mots de passe ne frappent pas à la porte d'entrée d'un service et n'essaient pas (littéralement) des millions de fois de se connecter au même compte. Ils utilisent soit des méthodes d'authentification moins publiques qui ne sont pas soumises à des verrouillages (comme une API privée pour les partenaires ou les applications), propagent leurs attaques sur un large éventail de comptes pour éviter les périodes de verrouillage, ou (dans le meilleur des cas) appliquant un mot de passe techniques de craquage pour les données de mot de passe volées. La plupart des systèmes chiffrent les données de mot de passe qu'ils stockent, mais ces fichiers chiffrés ne sont aussi sécurisés que le système lui-même. Si les attaquants peuvent mettre la main sur le fichier de mot de passe crypté (via une faille de sécurité, une machine compromise ou une ingénierie sociale, pour commencer), ils peuvent l'attaquer très rapidement une fois qu'il est sur leurs propres systèmes.C'est pourquoi les histoires d'attaquants obtenant des informations de compte (comme Stratfor, Epsilon, Sony et Zappos) sont troublantes. Une fois que les données cryptées ont été détournées, les attaquants peuvent appliquer des outils beaucoup plus puissants pour les ouvrir.

Original text


craquage de mot de passe shutterstock

Dans le monde réel, cela signifie que le chiffre de 1 000 mots de passe par seconde est extrêmement prudent. Le matériel informatique de bureau typique de nos jours peut tester des millions de mots de passe par seconde par rapport aux technologies de chiffrement courantes. De même, il existe désormais des outils de craquage de mots de passe qui exploitent les processeurs graphiques, et les opérateurs de réseaux de zombies criminels sont également actifs dans le domaine du craquage de mots de passe. Ils peuvent répartir la charge de travail sur des milliers d'ordinateurs. Combinez cette puissance brute avec des heuristiques sophistiquées (comme essayer des variantes de nombres et de lettres sur des mots courants) et il n'est pas inhabituel de déchiffrer un mot de passe utilisateur typique de huit caractères en moins d'une demi-heure.

Se tirer une balle dans le pied

Nous avons noté ci-dessus comment un mot de passe à huit caractères peut, avec des majuscules, des minuscules, des chiffres et des symboles, avoir bien plus d'un quadrillion de combinaisons possibles, mais la plupart des mots de passe à huit caractères utilisés aujourd'hui appartiennent à un pool d'environ un milliard de combinaisons seulement. C'est parce que les humains ne sont pas des machines. Lorsqu'un ordinateur se contente d'utiliser tortoise ou Y & 4nS0 \ 2 comme mot de passe, devinez lequel est le plus facile à retenir pour un humain? Maintenant, devinez lequel est le plus sûr.

Certains systèmes implémentent des exigences de mot de passe destinées à garantir que les utilisateurs n'utilisent pas de mots de passe faciles à craquer. Une approche courante consiste à exiger que les mots de passe des utilisateurs aient au moins une lettre majuscule, un chiffre, un symbole et au moins huit caractères. (Certains systèmes n'appliquent pas les exigences, mais offrent une jauge de «force du mot de passe» pour mesurer l'efficacité d'un mot de passe.) Certains systèmes exigent également que les utilisateurs modifient leur mot de passe de temps en temps (par exemple, tous les 30 ou 45 jours) et empêchez-les de réutiliser les mots de passe.

Ces types d'exigences font augmenter la sécurité des mots de passe, mais ils font aussi les mots de passe beaucoup plus difficile pour les gens de se rappeler. Cela signifie qu'une partie importante des utilisateurs trouvera immédiatement des moyens de subvertir la sécurité du système pour leur propre convenance. Bien sûr, certaines personnes peuvent gérer des mots de passe comme 9.3nDs (#mais beaucoup d'autres personnes vont répondre avec des notes autocollantes chargées de mots de passe sur les côtés des moniteurs, des notes dans leur portefeuille ou un document Microsoft Word sur leur bureau intitulé «Mots de passe» afin de pouvoir copier-coller si nécessaire . Les exigences de construction de mot de passe ont également tendance à nuire à la productivité et à augmenter les coûts de support (à la fois pour les employés et les clients), car davantage de personnes oublieront leurs mots de passe ou seront verrouillées hors de leurs comptes, ce qui nécessitera une intervention manuelle.

Créer des mots de passe complexes

Le Saint Graal des mots de passe semblerait alors être un mot de passe suffisamment complexe pour qu'il soit impossible de le déchiffrer à l'aide de techniques automatisées, mais assez facile pour se rappeler que les utilisateurs ne compromettent pas la sécurité en les stockant ou en les gérant de manière non sécurisée.

Voici quelques conseils pour créer des mots de passe complexes et faciles à retenir:

  • Utilisez des mots de passe longs. Si un mot de passe de huit caractères peut avoir 1,6 quadrillion de combinaisons possibles, imaginez combien de mot de passe de 16 caractères peut avoir? (Environ 2,8 millions, ou 2,830.) Cependant, peut-être plus important encore, l'ensemble de valeurs pour un mot de passe de 16 caractères utilisant des termes et des variations courants est d'un peu moins de 1,2 quintillion, alors qu'il était un peu plus d'un milliard avec un mot de passe de huit caractères. L'utilisation de mots de passe plus longs est le moyen le plus simple de rendre les mots de passe plus complexes et plus sécurisés.
  • Utilisez des mots combinés. Comment créer des mots de passe longs faciles à retenir? Une technique courante consiste à utiliser une série de trois à cinq termes simples et non liés . Ils sont généralement aussi faciles à retenir que les codes PIN; cognitivement, les gens ont tendance à se souvenir des mots entiers comme des unités uniques. Cependant, ces mots de passe peuvent être très complexes, du moins du point de vue du craquage des mots de passe. Et ces mots de passe sont faciles à créer simplement en regardant autour de vous ou en retournant un livre sur une page aléatoire. Jetant un coup d'œil à gauche par la fenêtre, je vois une grenouille, une voiture et la fenêtre de la kitchenette de quelqu'un. Nouveau mot de passe: FrogHubcapCupboard  - c'est 18 caractères, mais seulement trois mots à retenir. À droite: RunnerCameraGlueString - quatre mots courts, 22 caractères. Je n'ai utilisé que des majuscules pour aider à éclater les mots. L'ajout de caractères ou de substitutions supplémentaires peut augmenter la complexité - ne soyez pas si complexe que vous devenez la proie des faiblesses des mots de passe difficiles.
  • Utilisez des phrases ou des paroles. Une autre façon de créer des mots de passe longs consiste à utiliser des parties de phrases ou de paroles. Pour les paroles, les chansons relativement courantes sont peut-être meilleures que celles qui sont particulièrement importantes pour vous: encore une fois, vous ne voulez pas que les gens qui vous connaissent bien soient capables de deviner vos mots de passe simplement parce que vous êtes un grand fan de Michael Bolton (ou pas). . Des exemples de mots de passe créés à partir de phases ou de paroles peuvent être You'reNoJackKennedy (19 caractères), iShotaManinReno (15 caractères), impeepinandimcreepin (20 caractères).
  • Utilisez des mnémoniques. L'inconvénient des mots de passe longs est qu'ils peuvent être difficiles à saisir, en particulier sur un appareil mobile. Une autre astuce que certaines personnes trouvent utile pour générer des mots de passe plus courts et complexes consiste à utiliser le premier caractère de chaque mot d'une phrase ou d'un lyrique. «Combien de routes un homme doit-il emprunter» pourrait devenir HmrmamwD - huit caractères seulement, mais relativement complexe du point de vue d'un programme de craquage de mots de passe. De même, «Secouez-le, secouez-le comme une image polaroid» pourrait devenir SiSiLapp  - peut-être pas génial, mais meilleur que la tortue. Cette astuce peut également aider à générer de bons mots de passe pour les systèmes qui ont encore une limite sur la longueur des mots de passe.

Ces directives vous aideront généralement à trouver des mots de passe complexes et faciles à retenir. Bien sûr, lorsque vous traitez avec des systèmes de mots de passe avec des exigences de composition (c'est-à-dire qu'ils attendent des majuscules, des chiffres ou des symboles mixtes), vous devrez toujours trouver des modifications géniales sur les mots de passe pour remplir ces exigences. N'oubliez pas qu'avec des mots de passe plus longs, vous pouvez effectuer vos substitutions et modifications à des endroits évidents - généralement, ces mots de passe longs sont plus faciles à mémoriser même avec des exigences que des mots de passe courts et absurdes.

Quelques autres indices

Autres points à prendre en compte lors du choix de vos mots de passe:

  • Utilisez des mots de passe distincts pour des services distincts. N'utilisez pas votre mot de passe de réseau social pour les services bancaires en ligne. Si un mot de passe est compromis sur un service, les autres devraient être sûrs.
  • Choisissez soigneusement les mots de passe importants. Les systèmes de connexion unique peuvent être extrêmement pratiques, mais ils créent également un point de défaillance unique pour plusieurs services. Des exemples seraient les mots de passe pour les comptes des services Google, Yahoo et Microsoft, où un seul mot de passe piraté pourrait donner à quelqu'un l'accès à des e-mails, des documents, des images, des réseaux sociaux, des blogs, des photothèques, des listes de contacts, des carnets d'adresses, etc. De même, avec autant de sites (même Digital Trends) acceptant les connexions Facebook et Twitter, un mot de passe de réseau social compromis peut avoir des répercussions considérables.
  • Changez vos mots de passe. Il est tentant de penser que si l'un de vos mots de passe est cassé, vous le saurez tout de suite: votre e-mail disparaîtra, votre blog deviendra un ensemble de graphiques lulz, votre liste de cadeaux Amazon pourrait être remplie d'options embarrassantes, votre compte PayPal pourrait être effacé. Cependant, ce n'est pas toujours le cas: si quelqu'un déchiffre votre mot de passe, il se peut qu'il n'y ait pas de signe manifeste, du moins pas tout de suite. En changeant régulièrement votre mot de passe, vous vous assurez que même si quelqu'un entre par effraction, sa fenêtre d'opportunité pour vous exploiter est limitée. La fréquence à laquelle vous devez changer les mots de passe varie selon la façon dont vous utilisez les services en ligne. Pour tout ce qui concerne de l'argent réel, je recommande généralement aux utilisateurs de changer leur mot de passe tous les 30 à 90 jours - plus il y a d'argent, plus souvent.

Aucun mot de passe n'est sûr

La chose la plus importante à retenir concernant les mots de passe est peut-être que tout mot de passe peut être piraté: il s'agit simplement de savoir combien de temps et d'efforts quelqu'un est prêt à y consacrer. Les conseils ici aideront à réduire les chances que vos mots de passe soient déracinés par des attaquants aléatoires et même des amis et de la famille, mais aucun mot de passe n'est complètement sécurisé. Si l'accès sécurisé à un service est très important pour vous, envisagez d'examiner diverses formes d'authentification à plusieurs facteurs pour réduire davantage les risques d'accès non autorisé.

Crédit d'image: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa