SÉCURITÉ

Mots de passe: les étonnants conseils de Microsoft

Mots de passe: les étonnants conseils de Microsoft

anyaberkut - stock.adobe.com

Le père de Windows remet en cause la nécessité de changer régulièrement de mot de passe.

De votre messagerie électronique à votre application bancaire, les mots de passe sont omniprésents sur Internet. Ils sont les piliers parfois fragiles de la sécurité de vos données personnelles en ligne.

Faut-il régulièrement renouveler ces sésames? C’est un conseil courant, très courant, véhiculé par des articles, le bouche-à-oreille, les pratiques en entreprise. Il n’est pas rare que la maintenance informatique impose un calendrier de modification des mots de passe.

Le conseil est-il pertinent ? Ou tient-il de la fausse bonne idée? Dans une notedestinée aux gestionnaires d’une organisation Office 365, Microsoft bouscule une poignée dogmes.

Nature humaine et paresse

«La compréhension de la nature humaine est essentielle, car les recherches montrent que presque toutes les règles que vous imposez sur vos utilisateurs entraîneront un affaiblissement de la qualité des mots de passe», argumente le père de Windows.

«Les exigences d’expiration du mot de passe sont plus néfastes que la qualité, car ces exigences permettent aux utilisateurs de sélectionner des mots de passe prévisibles, composés de mots et de numéros séquentiels étroitement liés les uns aux autres».

Pour le formuler autrement, à l’heure de changer de mot de passe, nous avons la vilaine tendance à légèrement modifier l’ancien. L’exemple le plus classique: rallonger artificiellement en ajoutant une lettre ou une ponctuation.

Notre paresse serait ainsi systématiquement exploitée par les pirates et les hackers, bien au courant de nos travers et de notre nature humaine.

«Les exigences en termes de longueur, de caractères spéciaux et de modification de mot de passe aboutissent à une normalisation des mots de passe, ce qui permet aux pirates de deviner ou de pirater plus facilement les mots de passe.»

Les outils des hackers

À en croire l’analyse de Microsoft, les sites qui réclament un mot de passe long vous poussent sans le vouloir au crime.

«Les exigences de longueur de mot de passe (plus de 10 caractères) peuvent entraîner un comportement de l’utilisateur prévisible et indésirable. Par exemple, les utilisateurs qui doivent avoir un mot de passe de 16 caractères peuvent choisir des modèles répétitifs, tels que fourfourfourfour ou passwordpassword qui répondent aux exigences de longueur de caractères, mais qui ne sont pas difficiles à deviner. En outre, les exigences de longueur augmentent les risques que les utilisateurs adopteront d’autres pratiques non sécurisées, telles que l’écriture de leurs mots de passe, leur réutilisation ou leur stockage non chiffrés dans leurs documents.»

Malgré ces réserves à contre-courant, Microsoft conseille notamment d’utiliser dans vos mots de passe «caractères majuscules, caractères minuscules, caractères non alphanumériques», à condition d’éviter les usages connus des pirates.

«La plupart des personnes utilisent des modèles similaires, par exemple, une lettre majuscule dans la première position, un symbole dans la dernière et un nombre dans la dernière. Les cybercriminels connaissent cela.»

Au moment de décrypter un mot de passe, les hackers utilisent des outils qui testent les combinaisons plausibles en testant et remplaçant le «s» par un «$», le «a» par un «@», etc.