Plus un mot de passe est court et simple, plus il est sensible aux attaques élémentaires, qui utilisent des méthodes de force brute. Il compromet ainsi la sécurité des données utilisateur, alors que les pirates informatiques adoptent des techniques de déchiffrement de mots de passe de plus en plus sophistiquées. Pourtant, les utilisateurs continuent de choisir des mots de passe très vulnérables. L'Imperva Application Defense Center (centre de défense des applications d'Imperva) a analysé la résistance des mots de passe d'un grand nombre d'utilisateurs. Il a publié les résultats de cette étude dans son rapport « Consumer Password Worst Practices » (les pires habitudes de mot de passe des consommateurs).

Les principales conclusions du rapport sont les suivantes :

  • Environ 30 % des utilisateurs ont choisi des mots de passe vulnérables de longueur inférieure ou égale à six caractères.
  • Près de 60 % des utilisateurs ont choisi leur mot de passe dans un ensemble limité de caractères alphanumériques.
  • Près de 50 % des utilisateurs ont choisi des noms, des mots courants, des termes argotiques ou des mots de passe de structure facile à deviner, comme des suites de chiffres ou des touches de clavier adjacentes. Exemple : « 123456 », « 12345 », « 123456789 » ou encore « Motdepasse ».

Quelques recommandations à l'intention des utilisateurs :

  1. Choisissez un mot de passe fort pour les sites qui stockent les informations personnelles les plus importantes. Bruce Schneier est de bon conseil. Voici sa recommandation : « Prenez une phrase et transformez-la en un mot de passe. Par exemple, ??This little piggy went to market? (ce petit cochon est allé au marché) pourrait donner ??tlpWENT2m?. Ce mot de passe de neuf caractères ne figurera dans aucun dictionnaire. »
  2. Utilisez un mot de passe différent pour chaque site, même ceux dont la confidentialité n'est pas un problème. Pour vous aider à mémoriser les mots de passe, nous vous recommandons à nouveau de suivre le conseil de Bruce Schneier : « Si vous n'arrivez pas à vous souvenir de vos mots de passe, écrivez-les sur un bout de papier que vous glisserez dans votre portefeuille. Mais n'écrivez que la phrase, ou mieux encore, un indice qui vous aidera à vous souvenir de votre phrase ».
  3. Ne confiez jamais vos mots de passe importants (courrier électronique, opérations bancaires, informations médicales, etc.) à une tierce personne.

Quelques recommandations à l'intention des administrateurs :

  1. Appliquez une politique de mot de passe fort (si vous leur laissez le choix, les utilisateurs choisiront très probablement un mot de passe vulnérable).
  2. Vérifiez que les mots de passe ne sont pas transmis en texte clair. Utilisez toujours https pour les identifiants de connexion. Assurez-vous que les mots de passe ne sont pas stockés en texte clair. Chiffrez toujours les mots de passe avant de les stocker dans une base de données.
  3. Utilisez des mécanismes anti-force brute efficaces pour détecter et contrer les attaques contre les identifiants de connexion. Les attaques par force brute seront alors trop longues pour avoir un effet quelconque, même sur les mots de passe les plus courts.Vous devez, autant que possible, freiner les activités des pirates par force brute, grâce à des CAPTCHA par exemple, à des demandes de calcul, etc.
  4. Appliquez une politique de changement de mot de passe. Commencez à appliquer la politique soit à date prédéfinie, soit dès qu'un danger est suspecté.
  5. Autorisez et encouragez les phrases de passe, plutôt que les mots de passe. Quoique plus longues, les phrases peuvent être plus faciles à mémoriser. En outre, les caractères supplémentaires les rendent plus difficiles à déchiffrer

Source:


Générateur de mot de passe, http://www.eurnet.fr/passwd/passwd.html ou http://aspirine.org/easypwd.html