Robustesse des mots de passe : avez-vous la bonne méthode ?

Les experts en cybersécurité ont tendance à être quelque peu cyniques envers les utilisateurs “lambda”, particulièrement lorsqu’il s’agit du choix des mots de passe. Cependant, selon certains experts en sécurité informatique au sein du CyLab, l’Institut Security & Privacy de l’Université de Carnegie Mellon, les utilisateurs ordinaires ne semblent pas être aussi stupides qu’il n’y paraît. En effet les erreurs commises peuvent être classées en 4 catégories spécifiques. Le travail de sensibilisation nécessaire ne devrait pas être une tâche insurmontable.

La méthodologie de CyLab est la suivante : montrer aux gens des mots de passe par paires, et leur demander lesquels leur semblent les plus robustes. Ensuite, établir une corrélation entre leurs réponses et l’efficacité effective de ces derniers en utilisant les méthodes les plus actuelles pour craquer les mots de passe. Au final, sur 75 paires, les participants en ont correctement sélectionné 59. Il s’agit de 79%, soit en pratique un “B”.

Il est vrai que l’échantillon des 165 utilisateurs du CyLab est certainement un peu plus technique que d’autres utilisateurs : ils ont été recrutés en ligne via le système du Turc Mécanique d’Amazon. De plus, CyLab ne dit pas en substance que tous les utilisateurs atteindront ce score, mais seulement que certains peuvent y arriver. Enfin, pour conclure, ces scores ne sont pas alarmants.

Les personnes sondées par CyLab savaient que des mots de passe sont robustes lorsque :

Bien sûr, il en reste 21% qui n’ont pas réussi à faire la distinction. Cela laisse en effet de belles opportunités aux cybercriminels pour craquer vos mots de passe. Quelles ont donc été les plus grosses erreurs commises ? :

Qu’est ce qui pourrait aider les utilisateurs pour éviter les mauvaises stratégies de choix des mots de passe ? Selon l’auteur de l’étude :

Une méthode qui semble être très efficace pour assister les utilisateurs dans l’évaluation de leurs mot de passe, vis-à-vis des pratiques courantes, est de leur fournir des feedbacks ciblés et explicites pendant la phase de création. Les calculateurs actuels de la force d’un mot de passe indiquent simplement aux utilisateurs si un mot de passe est faible ou fort, mais ne mentionne pas les raisons.

Les futurs travaux dans ce domaine pourraient s’inspirer d’une récente étude qui montrait la possibilité pour les utilisateurs de finir automatiquement le mot de passe partiel qu’ils viennent de taper … et pourrait également se baser sur une autre étude utilisant des arguments de motivation ou encore la pression de collègues pour inciter les utilisateurs à créer des mots de passe plus robustes.

Vous pouvez aussi regarder cette courte vidéo sur la manière de choisir un mot de passe robuste :

Follow @SophosFrance
//
Billet inspiré de “Can you spot a strong password?” par Bill Carmada de Naked Security
Partagez “Robustesse des mots de passe : avez-vous la bonne méthode ?” avec http://wp.me/p2YJS1-2IP