Comme l'explique le site humoristique xkcd, les utilisateurs sont souvent prévisibles lorsqu'ils élaborent un mot de passe compliqué en associant chiffres, lettres et caractères spéciaux. (crédit : xkcd)
William Burr a planché il y a 14 ans sur l'authentification numérique pour le NIST (National institute of standards and technology). Le chercheur conseillait notamment de créer des mots de passe compliqués et de les changer souvent. Il le regrette aujourd'hui.
Finalement, les mots de passe complexes réunissant des chiffres, des lettres minuscules, des majuscules et des signes de ponctuation ne sont pas toujours la panacée, contrairement à ce que l'on a longtemps pensé. Ou, tout au moins, la façon dont on les conçoit et met en place laisse du champ aux hackers pour élaborer des algorithmes permettant de les retrouver. Et le fait de modifier périodiquement ces mots de passe - élaborés en se creusant le cortex - n'arrange guère les choses, finalement.
William Burr, le chercheur qui a recommandé en 2003 ces règles publiées par le NIST - l'institut national des standards et de la technologie du ministère américain du commerce - dit maintenant regretter une grande partie de ce qu'il a fait dans ce domaine. Aujourd'hui âgé de 72 ans, il l'a confié dans une interview au Wall Street Journal.
Dernière mise à jour des directives NIST en juin 2017
Il s'avère en fait que l'utilisateur lambda est assez prévisible dans la façon dont il choisit les différents caractères qui vont constituer ses mots de passe, ce qui permet de les craquer relativement facilement (ainsi que l'éclaire Randall Munroe, ancien consultant à la NASA, sur son site de bandes dessinées xkcd). Par ailleurs, la recommandation consistant à les changer régulièrement conduit souvent l'utilisateur à les modifier à la marge - par paresse ou par crainte de les oublier - en remplaçant simplement un ou deux caractères. William Burr estime aujourd'hui que ses directives étaient probablement trop compliquées pour être bien comprises et qu'elles allaient dans la mauvaise direction.
Le NIST a depuis fait évoluer ses directives et les dernières en date ont été publiées en juin dernier, sous la directive de Paul Grassi, conseiller senior de l'institut. Ce dernier a indiqué au WSJ qu'elles avaient été entièrement remises à plat, tout en soulignant malgré tout la longévité des règles élaborées par William Burr. L'évolution rapide en matière de technologies informatiques et de cybersécurité nécessitera sans doute une révision plus rapide du nouveau document.
Suivez-nous