Un ordinateur peut deviner plus de 100 000 000 000 de mots de passe par seconde. Vous pensez toujours que le vôtre est sécurisé?

Les mots de passe sont utilisés depuis des milliers d’années, comme moyen de s’identifier aux autres et, plus récemment, aux ordinateurs. C’est un concept simple – une information partagée, gardée secrète entre les individus et utilisée pour «prouver» l’identité.

Les mots de passe dans un contexte informatique sont apparus dans les années 1960 avec les ordinateurs centraux (grands ordinateurs centralisés avec des «terminaux» distants pour l’accès des utilisateurs). Ils sont maintenant utilisés pour tout, du code PIN que nous saisissons à un guichet automatique à la connexion à nos ordinateurs et à divers sites Web.

Mais pourquoi avons-nous besoin de «prouver» notre identité aux systèmes auxquels nous avons accès? Et pourquoi les mots de passe sont-ils si difficiles à obtenir?

Qu’est-ce qu’un bon mot de passe?

Jusqu’à récemment, un bon mot de passe pouvait être un mot ou une phrase de six à huit caractères. Mais nous avons maintenant des directives de longueur minimale. Pourquoi? En raison de «l’entropie».

Lorsqu’on parle de mots de passe, l’entropie est la mesure de la prévisibilité. Le calcul derrière cela n’est pas complexe, mais examinons cela avec une mesure encore plus simple: le nombre de mots de passe possibles, parfois appelé «espace de mot de passe».

Si un mot de passe à un caractère ne contient qu’une lettre minuscule, il n’y a que 26 mots de passe possibles («a» à «z»). En incluant des lettres majuscules, nous augmentons notre espace de mot de passe à 52 mots de passe potentiels.

L’espace du mot de passe continue de s’étendre à mesure que la longueur augmente et que d’autres types de caractères sont ajoutés.

En regardant les chiffres ci-dessus, il est facile de comprendre pourquoi nous sommes encouragés à utiliser des mots de passe longs avec des lettres majuscules et minuscules, des chiffres et des symboles. Plus le mot de passe est complexe, plus il faut de tentatives pour le deviner.

Cependant, le problème lié à la complexité des mots de passe est que les ordinateurs sont très efficaces pour répéter des tâches, y compris deviner les mots de passe.

L’année dernière, un record a été établi pour un ordinateur essayant de générer tous les mots de passe imaginables. Il a atteint un taux plus rapide que 100 000 000 000 de suppositions par seconde.

En exploitant cette puissance de calcul, les cybercriminels peuvent pirater un système en le bombardant avec autant de combinaisons de mots de passe que possible, dans un processus appelé attaques par force brute.

Et avec la technologie basée sur le cloud, deviner un mot de passe à huit caractères peut être obtenu en aussi peu que 12 minutes et coûter aussi peu que 25 $ US.

Et comme les mots de passe sont presque toujours utilisés pour donner accès à des données sensibles ou à des systèmes importants, cela motive les cybercriminels à les rechercher activement. Cela stimule également un marché lucratif de vente de mots de passe, dont certains sont accompagnés d’adresses e-mail et / ou de noms d’utilisateur.

Comment les mots de passe sont-ils stockés sur les sites Web?

Les mots de passe des sites Web sont généralement stockés de manière protégée à l’aide d’un algorithme mathématique appelé hachage. Un mot de passe haché est méconnaissable et ne peut pas être reconverti en mot de passe (un processus irréversible).

Lorsque vous essayez de vous connecter, le mot de passe que vous entrez est haché selon le même processus et comparé à la version stockée sur le site. Ce processus est répété à chaque fois que vous vous connectez.

Par exemple, le mot de passe « Pa $$ w0rd » reçoit la valeur « 02726d40f378e716981c4321d60ba3a325ed6a4c » lorsqu’il est calculé à l’aide de l’algorithme de hachage SHA1. Essayez-le vous-même.

Face à un fichier rempli de mots de passe hachés, une attaque par force brute peut être utilisée, en essayant chaque combinaison de caractères pour une plage de longueurs de mot de passe. Cela est devenu une pratique si courante qu’il existe des sites Web qui répertorient les mots de passe communs à côté de leur valeur hachée (calculée). Vous pouvez simplement rechercher le hachage pour potentiellement révéler le mot de passe correspondant.

Le vol et la vente de listes de mots de passe sont désormais si courants qu’un site Web dédié – haveibeenpwned.com – est disponible pour aider les utilisateurs à vérifier si leurs comptes sont «dans la nature». Cela a augmenté pour inclure plus de 10 milliards de détails de compte.

Si votre adresse e-mail est répertoriée sur ce site, vous devez absolument changer le mot de passe détecté, ainsi que sur tout autre site pour lequel vous utilisez les mêmes informations d’identification.

Une plus grande complexité est-elle la solution?

On pourrait penser qu’avec autant de violations de mot de passe se produisant quotidiennement, nous aurions amélioré nos pratiques de sélection de mot de passe. Malheureusement, l’enquête annuelle sur les mots de passe SplashData de l’année dernière a montré peu de changement en cinq ans.

À mesure que les capacités informatiques augmentent, la solution semble être une complexité accrue. Mais en tant qu’êtres humains, nous ne sommes pas qualifiés (ni motivés pour) nous souvenir de mots de passe très complexes.

Nous avons également dépassé le point où nous n’utilisons que deux ou trois systèmes nécessitant un mot de passe. Il est maintenant courant d’accéder à de nombreux sites, chacun nécessitant un mot de passe (souvent de longueur et de complexité variables). Une enquête récente suggère qu’il existe en moyenne 70 à 80 mots de passe par personne.

La bonne nouvelle, c’est qu’il existe des outils pour résoudre ces problèmes. La plupart des ordinateurs prennent désormais en charge le stockage des mots de passe dans le système d’exploitation ou le navigateur Web, généralement avec la possibilité de partager sur plusieurs appareils.

Les exemples incluent le trousseau iCloud d’Apple et la possibilité d’enregistrer les mots de passe dans Internet Explorer, Chrome et Firefox (bien que moins fiables).

Les gestionnaires de mots de passe tels que KeePassXC peuvent aider les utilisateurs à générer des mots de passe longs et complexes et à les stocker dans un emplacement sécurisé quand ils en ont besoin.

Bien que cet emplacement doive encore être protégé (généralement avec un long « mot de passe principal »), l’utilisation d’un gestionnaire de mots de passe vous permet d’avoir un mot de passe unique et complexe pour chaque site Web que vous visitez.

Cela n’empêchera pas le vol d’un mot de passe sur un site Web vulnérable. Mais s’il est volé, vous n’aurez pas à vous soucier de changer le même mot de passe sur tous vos autres sites.

Il y a bien sûr des vulnérabilités dans ces solutions aussi, mais c’est peut-être une histoire pour un autre jour.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lisez l’article original.