•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Mots de passe : mieux vaut choisir trois mots aléatoires, selon des spécialistes

Une personne tape sur un clavier d'ordinateur portable.

Des spécialistes d'une agence britannique remettent en question les critères de complexité normalement recommandés pour les mots de passe.

Photo : getty images/istockphoto / DragonImages

Radio-Canada

Pour vos comptes en ligne, il est préférable de choisir des mots de passe constitués de trois mots aléatoires plutôt que de créer une combinaison complexe de lettres, de chiffres et de symboles, selon des spécialistes du gouvernement britannique cités par The Guardian.

Dans un billet de blogue (Nouvelle fenêtre), l'agence gouvernementale britannique National Cyber Security Centre (NCSC) – l’équivalent, au Royaume-Uni, du Centre canadien pour la cybersécurité – affirme que le système à trois mots aléatoires permet de créer des mots de passe faciles à retenir. De plus, il crée une combinaison inhabituelle de lettres qui est plus difficile à deviner pour les pirates informatiques.

Selon l’agence NCSC, les logiciels utilisés par les pirates sont conçus pour décrypter les mots de passe complexes, comme ceux qui remplacent la lettre O par un zéro, ou encore le chiffre 1 par un point d’exclamation. De façon contre-intuitive, les exigences de complexité favorisent la création de mots de passe plus prévisibles, a affirmé l’agence au site du Guardian.

Les mots de passe constitués de trois mots aléatoires ont tendance à être plus longs et plus difficiles à prédire, et utilisent des combinaisons de lettres qui sont plus difficiles à détecter par les algorithmes de piratage.

L’agence concède toutefois que cette stratégie n’est pas sécuritaire à 100 %, puisque les internautes peuvent tout de même utiliser des combinaisons de mots prévisibles.

Une stratégie déjà approuvée en 2017

La stratégie mise en avant par l’agence NCSC concorde avec les observations du chercheur William E. Burr, qui, en 2017, avait fait volteface en reniant son guide du parfait mot de passe.

En 2003, il avait publié ce guide dans un document du National Institute of Standards and Technology, du département du Commerce américain. Il stipulait alors qu’un bon mot de passe devrait contenir au moins une lettre majuscule, une minuscule, un chiffre et un caractère spécial pour être sécuritaire.

Cependant, 14 ans plus tard, il admettait dans le Wall Street Journal que ses conseils étaient basés sur des connaissances sommaires et incomplètes et qu’il n’était pas un expert en sécurité lorsqu’il les avait rédigés.

Après les mots de passe, les phrases de passe

Comme l’agence NCSC, les journalistes en cybersécurité du magazine web The Intercept recommandaient en 2017 l’utilisation d’une phrase de passe au lieu d’un mot de passe. Les phrases de passe sont constituées de plusieurs mots du dictionnaire placés les uns après les autres, sans nécessairement inclure de caractère spécial, de chiffre ou de lettre majuscule.

Selon le sonneur d’alerte spécialisé dans la sécurité informatique Edward Snowden, une phrase de passe de sept mots prendrait 27 millions d’années à découvrir à un pirate qui serait capable de tester 1000 milliards de combinaisons par seconde.

La prochaine fois que vous vous créerez un compte sur Internet, il serait donc bien avisé d’avoir avec vous votre Petit Larousse ou votre Petit Robert à portée de main.

Avec les informations de The Guardian, et The Intercept

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !