Les mots de passe dans un contexte informatique sont apparus dans les années 1960 avec les ordinateurs centraux - de grands ordinateurs à commande centrale avec des "terminaux" distants pour l'accès des utilisateurs. Ils sont aujourd'hui utilisés pour tout, du code PIN que nous saisissons à un distributeur automatique de billets à la connexion à nos ordinateurs et à divers sites web.
Mais pourquoi avons-nous besoin de "prouver" notre identité aux systèmes auxquels nous accédons ? Et pourquoi les mots de passe sont-ils si difficiles à obtenir ?
Qu'est-ce qui fait un bon mot de passe ?
Jusqu'à récemment, un bon mot de passe pouvait être un mot ou une phrase de six à huit caractères seulement. Mais nous avons maintenant des recommandations sur la longueur minimale des mots de passe. Cela est dû à l'"entropie".
Lorsqu'on parle de mots de passe, l'entropie est la mesure de la prévisibilité. Le calcul n'est pas complexe, mais examinons-le avec une mesure encore plus simple : le nombre de mots de passe possibles, parfois appelé "espace de mot de passe".
Si un mot de passe ne contient qu'une seule lettre minuscule, il n'y a que 26 mots de passe possibles ("a" à "z"). En incluant les lettres majuscules, nous augmentons notre espace de mots de passe à 52 mots de passe possibles.
L'espace du mot de passe continue à augmenter au fur et à mesure que la longueur augmente et que d'autres types de caractères sont ajoutés.
En regardant les chiffres ci-dessus, il est facile de comprendre pourquoi nous sommes encouragés à utiliser de longs mots de passe avec des lettres majuscules et minuscules, des chiffres et des symboles. Plus le mot de passe est complexe, plus il faut de tentatives pour le deviner.
Cependant, le problème de la dépendance à la complexité des mots de passe est que les ordinateurs sont très efficaces pour répéter les tâches - y compris pour deviner les mots de passe.
L'année dernière, un record a été établi par un ordinateur essayant de générer tous les mots de passe imaginables. Il a atteint un taux supérieur à 100 000 000 000 de combinaisons par seconde.
En exploitant cette puissance de calcul, les cybercriminels peuvent pirater des systèmes en les bombardant avec autant de combinaisons de mots de passe que possible, dans un processus appelé attaques par force brute (brute force attacks).
Et avec la technologie basée sur le cloud, deviner un mot de passe à huit caractères peut être réalisé en 12 minutes seulement et ne coûte pas plus de 25 dollars.
En outre, comme les mots de passe sont presque toujours utilisés pour donner accès à des données sensibles ou à des systèmes importants, cela incite les cybercriminels à les rechercher activement. Cela favorise également un marché en ligne lucratif qui vend des mots de passe, dont certains sont accompagnés d'une adresse électronique et/ou d'un nom d'utilisateur.
Comment les mots de passe sont-ils stockés sur les sites web ?
Les mots de passe des sites web sont généralement stockés de manière protégée à l'aide d'un algorithme mathématique appelé "hachage". Un mot de passe haché est méconnaissable et ne peut pas être transformé en mot de passe (processus irréversible).
Lorsque vous essayez de vous connecter, le mot de passe que vous entrez est haché en utilisant le même processus et comparé à la version stockée sur le site. Ce processus est répété à chaque fois que vous vous connectez.
Par exemple, le mot de passe "Pa$$w0rd" prend la valeur "02726d40f378e716981c4321d60ba3a325ed6a4c" lorsqu'il est calculé à l'aide de l'algorithme de hachage SHA1. Essayez vous-même.
Face à un fichier rempli de mots de passe hachés, une attaque par force brute peut être utilisée, en essayant toutes les combinaisons de caractères pour un éventail de longueurs de mots de passe. Cette pratique est devenue tellement courante qu'il existe des sites web qui listent les mots de passe courants à côté de leur valeur de hachage (calculée). Vous pouvez simplement rechercher le hachage pour révéler le mot de passe correspondant.
Le vol et la vente de listes de mots de passe sont désormais si courants qu'un site web dédié - haveibeenpwned.com - est disponible pour aider les utilisateurs à vérifier si leurs comptes sont "dans la nature". Ce site s'est développé pour inclure plus de 10 milliards de détails sur les comptes.
Si votre adresse électronique figure sur ce site, vous devez absolument changer le mot de passe détecté, ainsi que sur tout autre site pour lequel vous utilisez les mêmes informations d'identification.
Une plus grande complexité est-elle la solution ?
On pourrait penser qu'avec autant de fuites de mots de passe survenant quotidiennement, nous aurions amélioré nos pratiques de sélection des mots de passe. Malheureusement, l'enquête annuelle sur les mots de passe de SplashData de l'année dernière a montré peu de changements sur cinq ans.
À mesure que les capacités de calcul augmentent, la solution semble être une complexité accrue. Mais en tant qu'êtres humains, nous ne sommes pas capables (ni motivés) de nous souvenir de mots de passe très complexes.
Nous avons également dépassé le stade où nous n'utilisons plus que deux ou trois systèmes nécessitant un mot de passe. Il est maintenant courant d'accéder à de nombreux sites, chacun nécessitant un mot de passe (souvent de longueur et de complexité variables). Selon une enquête récente, il y a en moyenne 70 à 80 mots de passe par personne.
La bonne nouvelle, c'est qu'il existe des outils permettant de résoudre ces problèmes. La plupart des ordinateurs prennent désormais en charge le stockage des mots de passe dans le système d'exploitation ou le navigateur web, avec la possibilité de partager les informations stockées sur plusieurs appareils.
Citons par exemple le porte-clés iCloud d'Apple et la possibilité de sauvegarder les mots de passe dans Internet Explorer, Chrome et Firefox (bien que moins fiable).
Les gestionnaires de mots de passe tels que KeePassXC peuvent aider les utilisateurs à générer des mots de passe longs et complexes et à les stocker dans un endroit sûr pour les utiliser quand ils en ont besoin.
Bien que cet base de données doit encore être protégée (généralement par un long "mot de passe maître"), l'utilisation d'un gestionnaire de mots de passe vous permet d'avoir un mot de passe unique et complexe pour chaque site web que vous visitez.
Cela n'empêchera pas qu'un mot de passe soit volé sur un site web vulnérable. Mais s'il est volé, vous n'aurez pas à vous soucier de changer le même mot de passe sur tous vos autres sites.
Bien sûr, ces solutions présentent également des vulnérabilités, mais c'est peut-être une histoire pour un autre jour.
source :
https://theconversation.com/a-computer-can-guess-more-than-100-000-000-000-passwords-per-second-still-think-yours-is-secure-144418