Mots de passe complexes : technique de mémorisation

Mon mot de passe favori est, sans hésitation, le bon vieux nom de mon animal de compagnie, qui se trouve en fait être le mot de passe le plus utilisé.

Un hacker, qui ne se préoccupe pas de savoir si pirater le compte de quelqu’un est illégal ou amoral, va certainement commencer par entrer le nom de votre chat.

Statistiquement, cela se produit très souvent. Google Apps a d’ailleurs trouvé, lors d’un sondage l’an dernier, 2000 anglais qui le faisaient.

Mais qui peut blâmer quelqu’un parce qu’il utilise, encore et encore, des mots de passe simples à se rappeler.

Bien sûr, nous devrions choisir un mot de passe complexe, composé d’une séquence de chiffres, de lettres et de caractères spéciaux, ou encore une passphrase (xkcd).

Mais les chiffres ne mentent pas. Les statistiques ont montré que nous (plus précisément une personne non experte en sécurité informatique) n’utilisons pas de mots de passe complexes.

A l’occasion du « Symposium on Usable Privacy and Security », un chercheur de Microsoft, Stuart Schechter, et un autre de l’université de Princeton, Joseph Bonneau, ont présenté Vendredi une expérience, qu’ils ont créée pour apprendre aux gens à mémoriser un mot de passe aléatoire très complexe, sur 56 octets grâce à la technique de « la répétition espacée » (« spaced repetition »).

Le résultat a montré, qu’il pouvait être relativement facile de « graver » un mot de passe complexe dans votre cerveau.

Selon le processus utilisé par les chercheurs, qui prend environ 12 minutes par utilisateur, 94% des sujets ont finalement été capables de se rappeler un mot de passe ou une passphrase de 56 octets.

Un mot de passe d’une telle complexité obligerait un hacker à tester des quadrillions de combinaisons possibles, avant de réussir à craquer le mot de passe.

Évidemment, si vous avez l’habitude d’osciller entre des mots de passe du type “motdepasse” ou encore “1234567890”, 56 octets doivent représenter une amélioration significative !

Les résultats de l’expérience sont particulièrement instructifs du  point de vue du fonctionnement même du cerveau, déclare Bonneau, membre du « Princeton’s Center for Information Technology Policy ».

Notre but était de montrer qu’il y avait une grande partie de la mémoire humaine, qui n’avait pas encore été explorée pour la mémorisation des mots de passe. Ils peuvent sembler durs à mémoriser de prime abord, cependant si vous suivez le bon entrainement, et mettez en place les bons repères, vous pouvez mémoriser pratiquement n’importe quoi.

Les chercheurs ont recruté des centaines de participants, par l’intermédiaire de « Amazon’s Mechanical Turk crowdsourcing platform », et les ont payés pour suivre une série d’entretiens téléphoniques axés sur des tests d’attention.

En réalité, ils étudiaient tout simplement comment les utilisateurs se connectaient aux tests.

A chaque fois que l’écran de login apparaissait, ce dernier invitait l’utilisateur à taper une série de mots et de lettres, avec une assistance.

A chaque fois que l’écran apparaissait de nouveau, cela prenait un temps de plus en plus long pour présenter la série de caractères censé l’aider. Ainsi, cela incitait les utilisateurs à les rentrer en faisant appel à leur mémoire.

Tout au long du test, les séquences de lettres et de mots augmentaient de plus en  plus. Après 10 jours de test, l’utilisateur devait rentrer 12 lettres aléatoires, ou 6 mots aléatoires avant de commencer le test.

Sans le savoir, les personnes sondées étant en train de s’entraîner à se rappeler des mots de passe, par la technique dite de la répétition espacée.

La répétition espacée est une technique d’apprentissage, qui exploite un phénomène psychologique selon lequel les animaux (incluant les humains) se rappelle plus facilement des choses si elles sont répétées dans le temps, plutôt qu’apprises de manière ponctuelle sur une courte période.

Les personnes sondées se sont connecté 90 fois pour finir le test, mais elles ont réussi à entrer leurs mots de passe ou passphrase, sans assistance à 36 reprises, en moyenne, avec un  taux de succès de 94%.

Après 3 jours, 88% se rappelaient toujours du mot de passe ou de la passphrase.

Ces mots sont gravés dans mon cerveau, déclara un sujet à l’un des chercheurs.

Cette technique, évidement, n’aidera pas les gens à se rappeler tous les mots de passe aléatoires et complexes, de chacun des sites auxquels ils doivent accéder.

Cependant, cela peut les aider à se rappeler du mot de passe ou de la passphrase, qui permet d’accéder à une application de management des mots de passe.

Or, comme le suggère les chercheurs, cela peut aider les gens à mémoriser un login dans leur entreprise, par exemple, ou bien les incite à choisir des mots de passe suffisamment difficile à craquer, pour une utilisation sur les réseaux internet et intranet.

Finalement, c’est également un outil très pratique pour les ingénieurs en sécurité informatique, ont déclaré les chercheurs, mais aussi une formidable découverte pour la race humaine, qui voit ici une manière de réconcilier les utilisateurs avec les mécanismes de  sécurité, toujours plus complexes.

Finalement, les chercheurs concluent leur étude ainsi :

Pour tous ceux découragés par la littérature traitant des problèmes des utilisateurs, lorsqu’ils se confrontent aux mécanismes de la sécurité, nous voyons clairement un espoir pour la race humaine. La plupart des utilisateurs peuvent mémoriser des codes cryptés complexes, quand ils utilisent des systèmes, libérés des contraintes du traditionnel apprentissage ponctuel et unique. Ils ont alors l’opportunité d’apprendre au fil de l’eau.

Notre système prototype d’évaluation, a démontré la capacité remarquable du cerveau à apprendre, à un moment donné, et à se rappeler plus tard d’une séquence aléatoire. Un résultat qui a surpris les participants eux-mêmes, à la fin de notre étude.

Billet inspiré de : “How to burn a password into your brain” par Lisa Vaas de Naked Security.

Partagez “Mots de passe complexes : technique de mémorisation” avec http://bit.ly/WycxO2