Constituant le premier niveau de sécurité, les mots de passe font désormais partie de notre quotidien. Entre les comptes bancaires, Facebook ou encore ceux de sites marchands, beaucoup d’entre nous optent pour la facilité en les notant ou en choisissant un mot de passe faible, réutilisé ou compromis. Et nous reproduisons ensuite ces comportements au sein de nos entreprises respectives.

Beaucoup d’entreprises s’appuient encore sur des processus manuels et sur la bonne volonté de leurs employés pour assurer ce premier niveau de sécurité. Ces mots de passe étant bien souvent le principal sésame pour accéder aux ressources informatique de l’entreprise, cela en fait donc une faille de sécurité potentiellement importante.

Alors, en attendant que de nouvelles méthodes d’authentification qui soient faciles à mettre en œuvre pointent le bout de leur nez et ne remplacent l’authentification par mot de passe, que peut-on faire ?

 

Les recommandations

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) fait plusieurs recommandations à ce sujet dont vous trouverez le détail ici :  https://www.ssi.gouv.fr/guide/mot-de-passe/

Pour résumer :

  • Utilisez un mot de passe unique pour chaque service.
  • Choisissez un mot de passe n’ayant pas de lien avec vous (prénoms des enfants, dates de naissance, etc…)
  • Gardez ce mot de passe confidentiel.
  • Renouvelez-le fréquemment (tous les 90 jours).
  • Choisissez un mot de passe robuste : au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).

(Je vous invite à vous rendre sur ce guide de l’ANSSI concernant la gestion des mots de passe et vous verrez que les méthodes présentées pour les retenir sont assez optimistes).

Son application dans la réalité

Pour un service informatique, demander d’appliquer les règles précédentes à ses utilisateurs sans les imposer, c’est s’exposer à ce qu’elles ne soient tout simplement pas appliquées.

Quand cela est possible, la mise en place d’un verrouillage de compte automatique au bout de 5 essais par exemple peut se révéler très efficace contre les tentatives de piratage de mot de passe via brute force.

Lorsque cela n’est pas possible, le compromis entre longueur et complexité du mot de passe devient important. En effet depuis quelques années maintenant, un mot de passe inférieur à 9 caractères est considéré comme trop faible. Pour preuve cette expérience datant de 2012 où des mots de passe Windows (hash NTLM) de 8 caractères sont cassés en moins de 6h : https://arstechnica.com/information-technology/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

Le facteur humain

Mais ce qui importe ici ne sont pas simplement les règles imposées aux utilisateurs mais surtout qui sera en charge de les appliquer. Et nous parlons ici de l’humain (utilisateur ou même administrateur) qui va choisir la façon dont il va se soumettre à ces contraintes.

Retenir un mot de passe de 12 caractères avec une combinaison de majuscules, minuscules, chiffres et symboles n’est pas quelque chose de naturelle pour notre cerveau et les utilisateurs mettent donc en place des stratégies d’évitement.

On peut trouver parmi ces stratégies une base fixe avec une partie variable par exemple lorsque le mot de passe doit être changé tous les 2 mois et qu’il doit être différent des 3 derniers. Ou encore l’utilisation de mot de passe tel que « P@ssword1 » qui correspond pourtant bien à la politique de l’entreprise mais figure dans tous les dictionnaires de mot de passe. Pour finir, si le renouvellement est trop fréquent, ce mot de passe sera noté quelque part par l’utilisateur.

Complexité ou longueur ?

Après quelques recherches sur la meilleure stratégie de mot de passe à adopter en entreprise, une approche intéressante est sortie du lot et pose la question suivante :

La complexité est-elle meilleure que la longueur lorsqu’il s’agit de choisir un mot de passe ?

D’un point de vue purement cognitif, notre cerveau n’est pas très performant pour retenir une chaîne de mots ou de caractères qui n’a pas de sens, ne faisant appel à aucune émotion et, qui plus est, qu’il faudra changer tous les 90 jours.

Comme suggéré dans cette approche, il s’agirait de ne plus imposer de complexité en terme de type de caractères mais simplement en terme de longueur minimale pour arriver à un mot de passe allant de 15 à 20 caractères et pouvant être une simple phrase ou une association de mots que votre esprit pourrait retenir facilement. Le mot de passe deviendrait donc une passphrase.

La durée de vie de cette passphrase serait elle aussi allonger : 1 an, 18 mois, 2 ans.

Le NIST (National Institute of Standards and Technology) défend l’idée selon laquelle un utilisateur aura plus de facilité à retenir un mot de passe plus long plutôt qu’un mot de passe plus complexe:

https://www.nist.gov/blogs/taking-measure/easy-ways-build-better-pw0rd

La valeur d’un hash d’une passphrase de cette longueur est quasi nulle pour un pirate lambda car le délai et les ressources matériels pour le casser deviennent déraisonnable et il devra sans doute changer son angle d’attaque. Charge à l’équipe informatique de s’occuper ensuite des autres sujets liés à la sécurité comme la sécurité de périmètre (Firewall) ou la protection contre les malwares par exemple (Antivirus et Antispam).

Conclusion

Quel que soit la stratégie envisagée au sujet des mots de passe, chacune d’entre elles montrent des limites et chacun pourra avoir un avis différent sur la question. Le mot de passe restera une contrainte pour l’utilisateur et il s’agit ici de trouver un moyen de lui faciliter la vie.

Frapper sur un clavier une telle passphrase peut s’avérer être une tâche fastidieuse au départ mais, après quelques jours de pratique, pourrait devenir assez automatique.

La généralisation d’outils Single Sign On est également un point important dans l’optique de simplifier la gestion des mots de passes pour les utilisateurs.

Avoir des mots de passe utilisateurs incassables ne constitue évidemment pas l’unique réponse à toutes les menaces mais il n’est pas très cohérent de dépenser des milliers d’euros dans des solutions de sécurités quand la plupart des mots de passe utilisés dans l’entreprise ne respectent pas les règles de base.