Votre mot de passe est basé sur un mot d'environ huit caractères. Vous avez substitué des chiffres aux lettres ("3" pour "E" et "4" pour "a", etc.), vous vous êtes assuré de mettre une lettre en majuscule ou deux, et vous avez soudé un point d'exclamation à la fin, comme pour souligner votre adhésion à la liste de contrôle immuable de la force du mot de passe. Tu pousses un soupir de soulagement. Tous les mois environ, vous oubliez ce mot de passe (ou vous vous en souvenez parce que vous l'utilisez partout). Mais c'est fort… pas vrai? Explorons le sujet de la sécurité par mot de passe pour découvrir les mythes, les maths et les méthodes qui définissent cet aspect crucial de l'informatique..
En tant qu'habitants et explorateurs de l'espace numérique, nous pouvons décrire cette discussion comme une quête. Nous sommes à la recherche du Saint Graal de la sécurité par mot de passe; un moyen de construire un mot de passe qui nous offre une protection maximale avec une mémorisation maximale - nous ne sommes qu'un humain, après tout.
Si la formule que j'ai décrite dans mon introduction - celle qui représente la grande majorité des mots de passe utilisés aujourd'hui - sonne comme l'idéal, vous serez peut-être surpris d'apprendre qu'elle produit non seulement des mots de passe difficiles à rappeler (évidemment), mais il est également beaucoup moins sécurisé que vous ne le pensez. Pour aggraver les choses, avoir un mot de passe fort n'est que la moitié de la bataille.
Pour comprendre pourquoi, nous devons faire un bref détour par le monde effrayant de la théorie de l'information afin de nous doter de connaissances de base nous permettant de comprendre comment la sécurité des mots de passe est mesurée et comparée..
En général, l’intégrité d’un mot de passe est discutée en termes de des bits d'entropie, Une mesure intéressante utilisée dans la théorie de l'information pour décrire l'incertitude associée au résultat d'une variable. Plus il y a d'incertitude ou, en d'autres termes, plus on ignore de l'événement à mesurer, plus l'entropie est élevée..
Rappelons-nous que plus un mot de passe contient d’entropies, plus il est difficile de déchiffrer.
Par exemple, nous considérerions qu'un tirage au sort ne représente qu'un seul entropie, car la valeur incertaine n'est qu'une des deux possibilités. La formule qui représente la valeur d'entropie d'un mot de passe est hideuse, et nous n'avons pas besoin de la comprendre pour donner un sens à l'entropie en général..
Pour en revenir à notre quête, il suffit de rappeler que plus un mot de passe est d'entropie, plus il est difficile de le déchiffrer..
Maintenant que nous connaissons le principe de base de la mesure de la force des mots de passe, nous devons examiner nos adversaires dans cette entreprise: les pirates informatiques, les pirateurs de mots de passe et autres tricheurs numériques qui souhaitent accéder à vos comptes..
La fissuration des mots de passe est la pierre angulaire du monde du piratage informatique et, sans surprise, elle possède l'un des arsenaux les plus développés du répertoire des hackers. En général, les méthodes de craquage de mot de passe appartiennent à l'une des deux catégories suivantes: craquage de motif et attaques par force brute..
Casser un mot de passe est moins difficile qu'on pourrait le penser de nos jours Si vous avez suivi la formule de mon introduction, votre mot de passe est probablement très sujet aux méthodes de cracking basées sur des motifs. Celles-ci se déclinent en plusieurs variantes, allant de l’attaque de base au dictionnaire à des variantes plus sophistiquées qui exploitent les techniques courantes de création de mot de passe..
Lorsqu'elles sont applicables, les approches de craquage basées sur un motif sont préférables car elles réduisent considérablement le nombre de possibilités qu'un pirate informatique doit essayer avant de trouver le mot de passe lui-même..
Si vous avez suivi la formule de mon introduction, votre mot de passe est probablement très sensible aux méthodes de cracking basées sur des motifs.
Votre mot de passe de huit caractères utilisant des chiffres, des lettres à majuscules et des caractères spéciaux? Il faudrait probablement une demi-heure pour craquer.
Cette deuxième catégorie d'attaques représente l'approche barbare du piratage de mot de passe. Essentiellement, une attaque par force brute signifie que le pirate informatique utilisera un ordinateur (ou réseau d'ordinateurs) incroyablement puissant pour systématiquement tester toutes les combinaisons de caractères possibles afin de révéler votre mot de passe..
Clairement, cela semble décourageant, car chaque caractère supplémentaire que vous ajoutez à un mot de passe nécessitera de nombreuses possibilités supplémentaires. Malheureusement, en fonction des compétences et du matériel dont dispose votre agresseur, vous pouvez vous attendre à ce qu'un pirate informatique puisse tester entre plusieurs centaines de milliers et environ un million de combinaisons de mots de passe possibles. par seconde.
Votre mot de passe de huit caractères utilisant des chiffres, des lettres à majuscules et des caractères spéciaux? Il a probablement une valeur d'entropie comprise entre 30 et 50 bits. Cela prendrait probablement aussi peu qu'une demi-heure pour se séparer.
Quelle que soit l'approche choisie, la fissuration d'un mot de passe nécessite la capacité d'essayer de nombreux mots de passe différents afin de trouver une correspondance. C’est là que l’autre moitié de l’intégrité du mot de passe entre en jeu: les mesures de sécurité du fournisseur de compte.
Si vous avez déjà rencontré un CAPTCHA sur un site Web (ces formulaires vous obligent à déchiffrer des chiffres ou des mots obscurs pour pouvoir continuer), vous en êtes peut-être arrivé à la conclusion que le site Web vous hait, vous détourne des yeux et vous prive de votre temps libre. Ce n'est probablement pas le cas.
En réalité, ces CAPTCHA aggravants ont une fonction cruciale dans le monde de la sécurité des comptes: non seulement ils empêchent les robots automatisés de remplir les formulaires de connexion, mais ils constituent également un obstacle supplémentaire qui ralentit la capacité d'un pirate informatique à tester les milliers de mots de passe. deuxième requis pour effectuer une fissure avec succès. Bien sûr, ils ne sont pas infaillibles, mais ils constituent une couche supplémentaire de protection.
Outre les autres mesures de sécurité côté serveur, telles que les délais de connexion automatiques après un trop grand nombre de tentatives infructueuses, les CAPTCHAs représentent l’autre côté de la protection des mots de passe..
Il vaut souvent la peine d'explorer le type de mesures de sécurité mises en place par un service avant de confier une trop grande partie de vos données à caractère personnel, car peu importe la force de votre mot de passe, peu importe si la porte arrière est ouverte..
Pour la plupart, notre formule d’introduction pour la création de mot de passe offre des conseils très avisés. Plusieurs cas, caractères spéciaux, nombres; ce sont toutes des techniques sonores à utiliser dans le cadre de votre mot de passe.
Il y a d'autres techniques que vous avez probablement recommandées et qui ne vous gênent pas pour garder votre compte en sécurité..
Mais certaines directives influent sur leur efficacité, et il existe d'autres techniques que vous avez probablement recommandées et qui ne vous permettent pas de garder votre compte en sécurité. Examinons certaines de ces directives et identifions des exemples de techniques de mot de passe médiocres..
La plate-forme peut sembler superposée contre vous, mais il convient de rappeler que la plupart d'entre nous ne seront pas la cible de pirates informatiques dévoués. Notre priorité est de faire des choix éclairés concernant les services auxquels nous faisons confiance avec nos données, et de veiller à ce que nos comptes aussi sécurisés que possible sans nous causer des maux de tête inutiles en essayant de nous rappeler des chaînes de caractères obscures.
Il existe un certain nombre de méthodes astucieuses pour créer des mots de passe sécurisés conformes à ces critères, mais nous allons nous concentrer sur deux principes principaux qui sont non seulement populaires mais également extrêmement efficaces et suffisamment souples pour être utilisés partout..
Notre priorité est de faire des choix éclairés concernant les services auxquels nous faisons confiance avec nos données et de veiller à ce que nos comptes soient aussi sécurisés que possible..
L'un des paradoxes les plus fascinants de la sécurité par mot de passe est le fait que, si un mot est extrêmement facile à transiger comme mot de passe, l'utilisation de plusieurs mots l'un après l'autre constitue en fait l'une des méthodes de création de mot de passe les plus sécurisées qui offre également l'avantage d'être beaucoup plus simple à retenir qu'une longue chaîne équivalente de caractères aléatoires.
L'une des principales méthodes de génération d'une telle liste de mots s'appelle 'Diceware', ainsi nommé parce que vous utilisez un ensemble de dés pour générer le mot de passe à partir d'une liste de mots, comme dans cet exemple en anglais..
Pour chaque mot du mot de passe (ou du mot de passe, dans ce cas), vous lancerez un dé cinq fois. Les nombres résultants seraient enchaînés - par exemple 61345 - puis le mot correspondant de la liste serait sélectionné, dans mon cas, "crapaud".
Maintenant, à titre d’exemple, prenons un mot de passe «fort» typique: 7YmP @ ni5 (les timbales, pour vous les non-musiciens). Ce mot de passe nous offre environ 50 bits d'entropie. Ce n'est pas mauvais, mais ce n'est pas mémorable non plus - quelle lettre a été remplacée par quel caractère ou numéro spécial? Quelles lettres ont été capitalisées?
Terminant une phrase secrète de 5 mots en utilisant la liste de mots Diceware, je suis tombé sur 'toadloafsteamwhackethos'. Cela nous donne une base d’environ 65 bits d’entropie, ce qui représente un défi beaucoup plus déconcertant pour les pirates informatiques (chaque bit supplémentaire d’entropie équivaut à deux fois plus de possibilités qu’il faut parcourir)..
Normalement, cinq mots sont considérés comme la longueur minimale viable pour une phrase secrète Diceware, et la beauté du système réside dans le fait que la valeur d'entropie est calculée en supposant que votre pirate informatique sait non seulement que vous utilisez une liste de mots Diceware, mais également même savoir lequel vous avez utilisé et combien de mots sont dans votre phrase secrète. En d’autres termes, s’ils savent quelque chose de moins que cela ou s’avèrent complètement aveugles, l’entropie de votre phrase secrète est encore plus élevée.!
Et comme il s’agit d’une simple liste de mots courants, il est beaucoup plus facile de se rappeler, en particulier si vous générez (ou inventez) une phrase humoristique ou si vous vous souvenez mieux - «Écoutez, écoutez! est simple pour les fans de Zelda. 70 bits d'entropie nostalgique juste là.
Une méthode sournoise et très efficace pour générer des mots de passe forts implique l’utilisation de phrases de manière légèrement non conventionnelle, c’est-à-dire cocher la plupart des cases de la création de mots de passe forts - assembler les premières lettres et toute la ponctuation dans un mot de passe.
Prenons, par exemple, un poème comme The Jabberwocky, de Lewis Carroll. De la première strophe, nous allons prendre les deux premières lignes, qui sont:
'Twas brillig, et les toves slithy
Fait gyre et gimble dans le wabe;
Ensuite, en appliquant cette méthode, nous aboutirions à «'Tb, atstDgagitw;». Cette merveilleuse technique d'ingénierie des mots de passe représente 100 bits d'entropie..
Voyons les avantages: il apparaît, à première vue, complètement aléatoire et est donc insensible aux attaques basées sur des schémas; il utilise à la fois des lettres en majuscules et des caractères spéciaux; il comporte plus de 12 caractères (une ligne directrice commune); et malgré son apparente obscurité, il est impossible de l'oublier car il est tiré d'une littérature qui est par nature facile à retenir - un poème!
En supposant que vous n'aimiez pas la poésie, vous pouvez bien sûr utiliser une phrase de votre discours préféré, une citation d'un livre ou toute autre phrase que vous n'oublierez probablement pas.
Personnellement, je recommande la poésie pour deux raisons: l'une, elle a tendance à être riche en ponctuation et en majuscules, et deuxièmement, il est presque toujours très facile à mémoriser (pensez au nombre de chansons populaires que vous pouvez chanter).
La dernière pièce du puzzle des mots de passe forts est la variabilité: n'utilisez pas le même mot de passe partout, c'est la plus grosse erreur que vous puissiez commettre. Dix mots de passe faibles sont plus sûrs qu'un mot de passe plus fort utilisé dix fois, parce que s'il est compromis, chaque compte que vous avez est également compromis immédiatement..
N'utilisez pas le même mot de passe partout, c'est la plus grosse erreur que vous puissiez commettre.
En utilisant les deux méthodes que nous avons décrites ci-dessus, vous pouvez facilement trouver des moyens de garder les choses cohérentes tout en conservant des mots de passe différents pour des services différents. Changer le dernier mot de votre liste Diceware ou utiliser des vers différents des paroles de la même chanson, par exemple.
Nous devrions parler brièvement du problème de la rédaction de mots de passe pour les mémoriser. C’est un risque pour la sécurité que beaucoup de gens prennent, mettant leurs mots de passe essentiels dans un cahier ou un bout de papier dans leur portefeuille..
Bien que cela soit pratique, cela ouvre également une nouvelle voie de danger: si quelqu'un vole votre portefeuille, il s'échappera normalement avec de l'argent et votre carte d'identité. Désormais, ils peuvent également accéder à tous les comptes pour lesquels vous avez écrit un mot de passe. Pouvez-vous vous rappeler d'aller les changer tous dans le temps?
Lorsque nous proposons notre solution de mot de passe idéale, nous soulignons qu’elle doit produire quelque chose de mémorable précisément pour que vous n’ayez pas besoin d’écrire des choses pour vous en souvenir..
Sinon, si vous pouvez facilement vous rappeler la formule que vous utilisez, il vous suffira peut-être d'écrire des rappels obscurs qui seront inutiles pour quiconque tente de déchiffrer votre mot de passe. Si vous utilisiez la méthode de l'acronyme de poésie, vous pourriez garder une note indiquant simplement le verset que vous avez utilisé pour chaque service - un voleur ne saurait pas de quoi vous parlez..
Qui est un pirate informatique plus susceptible de cibler: une personne aléatoire ou une entreprise qui se vante de fournir une protection renforcée par mot de passe à des millions d'utilisateurs?
À ce stade, vous vous demandez peut-être pourquoi vous ne devriez pas utiliser un service de mot de passe dédié tel que LastPass pour gérer et générer vos mots de passe sécurisés..
Comme ce sont des outils fiables et flexibles, vous devriez certainement envisager de les utiliser. Il est rentable de pouvoir générer vos propres mots de passe forts parce qu’ils sont aussi des services gérés par des entreprises, ils sont donc vulnérables aux attaques - et sont bien plus susceptibles d’être attaqués par un mot de passe que par un individu isolé. Après tout, qui est un pirate informatique plus susceptible de cibler: une personne aléatoire ou une entreprise qui se vante de fournir une protection renforcée par mot de passe à des millions d'utilisateurs?
Comme ils se sont donné pour mission de le faire, beaucoup de ces services valent la peine d’être faits confiance, mais si vous êtes plus prudent, ou si vous ne voulez pas que tout soit stocké dans une application, ou si vous voulez simplement un moyen de créer un mot de passe principal fort pour ces autres solutions, il est utile de savoir en créer un - et maintenant vous le faites!
Il va sans dire que les mots de passe les plus forts sont ces béhémoths aléatoires de 20 caractères pour lesquels vous pouvez facilement trouver un générateur sur le Web. Ceux-ci sont catégoriquement plus forts que tous les autres que vous êtes susceptible de formuler. Mais ils ne sont également utiles que pour les machines et les personnes ayant une habileté ridicule à mémoriser des chaînes de caractères complexes - ils ne sont tout simplement pas pratiques pour un usage quotidien.
La notion de mot de passe idéal que nous avons explorée dans ce didacticiel a permis de trouver un juste équilibre entre intégrité et mémorisation. Vous êtes maintenant équipé pour repérer les pièges de création de mot de passe les plus flagrants et créer des mots de passe forts, mémorables et variables pour vous-même. Alors allez-y et fermez les écoutilles sur vos précieux atouts numériques.
Pendant que vous y êtes, n'oubliez pas de les changer de temps en temps - il est plus difficile de toucher une cible en mouvement, après tout..
Avoir une meilleure méthode? Nous voulons en entendre parler! Les mots de passe sont importants, alors sautez dans les commentaires et partagez vos impressions.
Accentsconagua
Share