Un monde sans mots de passe

L’authentification par mot de passe est un mécanisme de sécurité fondamental présent partout. Vous l’utilisez tous les jours à de multiples reprises pour vos comptes en ligne et l’accès à diverses plateformes.

La bonne pratique est de sécuriser au maximum ces accès, par exemple, avec des mots de passe uniques et aléatoires. Il est déconseillé d’utiliser le même mot de passe pour différents comptes, même si c’est un mot de passe fort.

Les gestionnaires de mots de passe peuvent aider dans cette perspective avec des fonctionnalités d’auto-complétion et de création automatique de mots de passe.

Faciles d’utilisation, ils permettent aux utilisateurs de ne pas avoir à se rappeler de leurs mots de passe, ce qui est une excellente protection en soi.

Pour autant, il y a beaucoup de confusions autour de la notion de “mot de passe fort” que j’aimerais dissiper ici.

Ça veut dire quoi “mot de passe fort” ?

Les hackers utilisent des logiciels pour cracker les mots de passe, par exemple, des dictionnaires et des sets d’instructions pour deviner les combinaisons.

Cette technique très connue s’appelle le brute-force et consiste à tenter un grand nombre de combinaisons possibles de login et mot de passe jusqu’à trouver la bonne.

La plupart du temps, ce travail n’est absolument pas manuel et les hackers utilisent des robots et des listes de mots de passe fréquents ou bien leakés.

123456789, qwerty, abcdefgh, iloveyou7

Les mots de passe ci-dessus sont très faibles. On les retrouve même dans des listes publiques comme Rockyou, et ils seront donc trouvés à la vitesse de la lumière.

Cependant, les mots de passe qui vont suivre ne sont pas mieux :

!@#$%^, P@ssw0rd, buddy123

On les retrouve aussi dans la liste Rockyou.

Ne jouez pas aux plus malynx. Des logiciels comme JohntheRipper intégrent ce genre d’astuces depuis des années. Remplacer vos “a” par des “@” ou vos “s” par des “$” sera rapidement déjoué.

Par ailleurs, un mot de passe fuité (ou “leaké”) est un mot de passe faible, quoiqu’il arrive.

S’ajoutent des campagnes de phishing de plus en plus sophistiquées et des fuites massives de données de plus en plus fréquentes.

Soyez ultra-vigilants avec les emails et utilisez haveibeenpwned pour tester vos mots de passe.

Les politiques de mot de passe sont obsolètes

Les bonnes pratiques et les gestionnaires de mots de passe assurent une bonne partie de la sécurité.

Cependant, certains sites s’amusent à interdire le copier-coller dans les champs de confirmation du mot de passe ce qui bloquent l’auto-complétion.

Leurs règles concernant les mots de passe sont bien souvent obsolètes et poussent les utilisateurs vers des stratégies très prévisibles.

Il n’est pas rare de ne pas pouvoir utiliser de mots de passe long avec des caractères spéciaux et de finalement aboutir à ce genre de non-sens :

taylor23

Le système sera content car vous utilisez des chiffres et des lettres mais c’est vraiment très faible comme mot de passe.

Mesurer la force des mots de passe avec l’entropie

Les professionnels évaluent les mots de passe avec les bits d’entropie. Cela mesure à quel point votre mot de passe est aléatoire, par exemple, sur la base de ce genre de formule mathématique :

E = log2(Rᴸ)

Il y a plusieurs variants de la formule mais, globalement, plus l’entropie (E) augmente, et plus le mot de passe sera résistant à l’attaque. R fait référence au nombre de caractères disponibles et L est la longueur totale du mot de passe.

Plus on va mélanger des lettres minuscules avec des lettres majuscules, des chiffres et des caractères spéciaux, et plus l’entropie va augmenter. Mais le paramètre le plus critique est bien la longueur.

Il ne s’agit pour autant que d’un indicateur et si vous réutilisez le même mot de passe partout ou s’il est fuité alors c’est la fin de la partie, peu importe le niveau d’entropie.

Les mots de passe ne suffisent plus

La plupart des services proposent maintenant d’activer des étapes supplémentaires lors de l’authentification, par exemple, avec la double authentification (2FA) ou l’authentification multi-facteurs.

Les utilisateurs sont alors contraints d’entrer un code reçu par SMS (ou généré via une application sur leur smartphone comme Google Authenticator ou Lastpass), en plus de leurs identifiants habituels.

La 2FA n’est que rarement activée par défaut par contre. Il faut souvent aller dans les réglages avancés du compte pour la mettre en place.

Ce n’est pas l’assurance tous risques mais c’est plus dur à pirater, en général, que l’authentification classique.

L’approche décentralisée ou “passwordless”

Les systèmes passwordless peuvent consister en l’envoi de liens dit “magiques” par email ou une authentification biométrique (ex : empreinte digitale, iris).

D’autres approches, plus sécurisées, consistent à utiliser des clés de cryptographie au lieu de mots de passe. L’utilisateur passe par un appareil externe (ex : une clé USB) qui est le seul à posséder le sésame.

Cette approche décentralisée peut avoir plusieurs avantages, par exemple :

  • améliorer l’expérience utilisateur significativement
  • éliminer le risque inhérent aux mots de passe (fuites de donnés massives, crakage, etc)

Attention, ce n’est pas exactement comme implémenter un simple formulaire de login pour le développeur. Il faudra parfois revoir carrément toute l’appli pour mettre en place un tel système !

Cependant, du point de vue utilisateur, c’est plus confort et, selon toute probabilité, bien mieux sécurisé.