Bill Burr a publié une note en 2003 au nom du NIST dans laquelle il conseillait aux utilisateurs soucieux de la sécurité de leurs données d’opter pour des mots de passe complexes. Il s’est finalement ravisé.
Le NIST est une agence américaine dépendant du département du commerce et elle a ainsi pour but de promouvoir l’économie et l’industrie à travers les technologies et les standards. Elle a différentes missions et elle s’intéresse notamment au chiffrement ou encore à la sécurité des données.
En 2003, un de ses chercheurs a établi des règles précises régissant la création et la gestion des mots de passe.
Le NIST a longtemps conseillé des mots de passe complexes
Le rapport écrit par Bill Burr faisait environ huit pages et il dispensait de nombreux conseils afin de faciliter la vie des utilisateurs. Il préconisait notamment d’utiliser des chaînes de caractères aléatoires mêlant minuscules, majuscules, chiffres et caractères spéciaux au lieu de mots faciles à mémoriser.
L’expert ne s’arrêtait pas là cependant et il conseillait également de changer de mot de passe tous les trois mois pour augmenter la sécurité.
Toutefois, ces conseils n’ont pas porté leurs fruits et les contraintes imposées par cette méthode se seraient même révélées contre-productive. C’est en tout cas ce qui ressort de l’entretien de Bill Burr avec le Wall Street Journal.
Il a en effet profité de l’entrevue pour revenir sur ce fameux rapport et exprimer ses regrets.
Les hackers cherchant à trouver un mot de passe par brute force s’appuient systématiquement sur des dictionnaires de mots de passe couplés à des algorithmes développés par leur soin. Ces dictionnaires se composent de mots ou d’expressions courantes et Bill Burr pensait à l’époque qu’une chaîne de caractères complexes suffisait à les contrer.
Il est finalement préférable d’opter pour des suites de mots
Mais voilà, les règles imposées étaient beaucoup trop contraignantes.
En conséquence, de nombreuses personnes ont choisi de partir d’un mot ou d’un nom facile à mémoriser et de le complexifier ensuite avec quelques caractères spéciaux de leur cru. Seul problème, les hackers ont adapté leurs algorithmes en conséquence et ces mots de passe “complexes” sont donc devenus très faciles à cracker.
D’après Bill Burr, un mot de passe comme 1$!Th0m4s!$1 n’aurait donc besoin que de quelques heures pour être cracké et il se révélerait ainsi du même coup totalement inefficace. L’expert recommande donc à présent d’opter pour une suite de mots faciles à retenir, mais n’ayant aucun lien particulier entre eux. Des suites comme thomasmyrtillecamionpoisson ou même mamanchampignonoignondringdring.
Bien sûr, cela ne vous dispense pas d’activer la double authentification sur vos différents comptes… C’est d’ailleurs ce que recommande la CNIL.