Des chercheurs ont découvert le mot de passe infaillible et facile à retenir

Maj. le 5 avril 2016 à 10 h 56 min

La première chose qui nous vient à l’esprit lorsque nous devons créer un mot de passe est que notre mémoire laisse à désirer mais aussi qu’il nous est difficile de choisir aléatoirement mais des chercheurs auraient trouvé une solution à ces deux problèmes.

mot de passe

L’imprévisibilité est par définition impossible à anticiper, contrairement au comportement humain. Vous aurez beau vous justifier que votre mot de passe n’est pas aussi évident que « 123456 » ou que vos initiales suivies de votre date d’anniversaire, nous commettons tous des erreurs et nos mots de passe sont loin d’être infaillibles.

L’emploi de mots communs, de les juxtaposer de suites de chiffres évidentes, remplacer vos « a » par des « @ » et vos « i » par des « 1 » et bien évidemment, l’utilisation d’un seul mot de passe pour plusieurs comptes différents. Ces motifs redondants, nous les utilisons en sachant que nous serons capables de les retenir.

Comment justement réussir à former un mot de passe complètement sûr et simple à mémoriser ? Certains diront qu’il n’existe pas, d’autres affirmeront que l’avenir des codes secrets se trouve dans les Emoji. Pourtant, deux chercheurs de l’université de Californie du sud affirment avoir trouvé la formule secrète. Marjan Ghazvininejad et Kevin Knight ont récemment publié un rapport proposant une solution innovante capable de générer des mots de passe extrémement difficiles à déchiffrer tout en étant faciles à retenir.

La recette ? des poèmes générés aléatoirement. Cette idée à première vue étrange est venue à l’esprit des chercheurs grâce à une petite bande dessinée de Randall Munroe plus connu sous le pseudonyme de Xkcd.

mot de passe dessin

Ce dessin montre à quel point un mot de passe créé à partir de 4 mots choisis au hasard, ici « Correct cheval batterie agrafeuse » représentaient une énigme bien plus indéchiffrable qu’une suite de chiffres et de lettres pourtant recommandée par les experts en sécurité.

Le dessinateur voulait par ce dessin expliquer que même en choisissant le mot le plus inattendu par exemple « troubadour » et si l’on remplaçait certaines de ses lettres par d’autres symboles (chiffres, arobase,…), cet assemblage pouvait être décrypté en quelques secondes par un ordinateur. Au contraire, quatre mots choisis aléatoirement représenteraient une somme de travail plus intense à décoder là où le propriétaire du mot de passe parviendra à s’en souvenir facilement par le biais d’une petite histoire mettant en relation ces quatre mots.

Pour générer ce genre de code, des mots sont en fait sélectionnés sur la base d’un très grand nombre créé aléatoirement. Ce nombre est ensuite segmenté, chaque fragment correspondant à un mot du dictionnaire. Des milliards de milliards de combinaisons seraient ainsi possibles avant de parvenir à déchiffrer cette méthode d’encryptage d’après Kevin Knight.

mot de passe canterbury

Dans leur rapport, Ghazvininejad et Knight essayent différentes méthodes pour créer un mot de passe aléatoirement. La technique du dessin de Munroe générant 4 mots mais aussi une générant une phrase. Ils en sont finalement venus à la conclusion que le plus sûr et le plus mémorable consistait à créer une succession de vers formés de mots sans rapport les uns aux autres.

Les deux chercheurs expliquent que la poésie est utilisée depuis des millénaires par l’Homme comme moyen mnémotechnique. Des 12 000 vers de l’Odyssée d’Homère aux 17 000 des Contes de Canterbury, si la majorité ne pourra pas tout réciter de tête, deux ou trois vers pourront néanmoins revenir à l’occasion en mémoire.

Ainsi, les deux ont créé leur poème en assignant un code spécifique aux 327 868 mots du dictionnaire. Avec un programme informatique, ils ont ensuite généré un très long nombre binaire. En le segmentant, ils ont alors traduit ces portions en deux phrases courtes, l’ordinateur s’étant assuré que les deux derniers mots rimaient, ce qui donne :

Receiver Mathew Halloween
deliver cousin magazine

Cela ne paie pas de mine, mais ce mot de passe présente un niveau de sécurité très élevé. Pour Knight, le déchiffrer pourrait prendre 5 millions d’années. Ghazvininejad et Knight ont par ailleurs développé un générateur de ce genre de mots passe que vous pouvez essayer en ligne.

Ils préviennent tout de même que ce site n’est qu’une demonstration et que des hackers pourraient s’emparer des exemples proposés. N’utilisez donc pas ceux qui seront générés. Vous pouvez également leur passer commande de mots de passe en envoyant votre e-mail. Ils vous en enverront qui sera effacé de leurs serveurs par la suite.

via

Réagissez à cet article !
  • Salva

    De la balle, et le mot de passe tu mets 3 plombes à le retaper à chaque fois. Déjà quand t’a 8 caractères et que tu te plantes une fois t’a les boules de le retaper, imagine 50 caractères.

    • Faut peut être pas abusé 8 caractères c’est rien. Après faut un minimum de sécurité et oui les erreurs de frappes arrivent faut juste recommencer.
      J’ai des mots de passe de plus de 20 caractères. Donc plusieurs mots ça ne change pas grand chose.

  • Vaykadji

    C’est idiot, trouvez moi un seul site sérieux qui accepte une suite de lettres sans majuscules ni chiffres… Et je ne parle même pas des sites qui obligent à faire « entre 6 et 12 caractères », pas plus.

    • Aldwyr Ephraem de Az

      Microsoft. ^^’
      Je viens d’essayer et je n’ai rencontré aucun problème. ^^’

      • MrVaykadji

        ah ben non, microsoft oblige à utiliser une majuscule, ou alors ils ont changé dans les derniers 60 jours.

        • Luis

          Microsoft sont les pire en génération de mdp

      • Microsoft limite à 16 caractères.. Je voulais augmenter le mien, mais je suis déjà au taquet…
        Et oui tant qu’il n’y aura pas une logique générale obligatoire pour tous les sites, ça ne marchera pas. Entre 6 et 12, des majuscules, pas de caractères exotiques, un chiffre, une lettre, pas de majuscule, etc…

  • robin4002

    Rien de nouveau. C’est pas pour rien que le SSH utilise des « passphrase » et non des « password ».
    Un expert d’ovh avait aussi dit que ce que fait la force d’un mot de passe aujourd’hui c’est sa longueur.
    De toute façon l’avenir ce sont les identifications à deux facteurs (ce que l’utilisateur sait, un mot de passe par exemple et ce que l’utilisateur a, une carte, son téléphone, une adresse mail …) Certains sites font déjà ça en demandant un mot de passe + une clé aléatoire temporaire à usage unique envoyé par mail ou par sms.

    • MoutonNoir

      Je ne comprends même pas comment cela ne peut pas se généralisé plus vite…
      Au choix, la double validation sms ou l’appli dédié (pourquoi pas sur un périphérique dédié lui aussi…) avec une validation comme pour le compte Microsoft (que vient de faire yahoo il me semble ?)
      Et je suis sûr qu’en cherchant bien on pourrait trouver d’autre idées…

      • Atlas

        Google fait cela depuis des années.

      • pomdapi

        Synology utilise la validation en 2 étapes compatible avec Google authenticator (app) par exemple, c’est tellement pratique que je comprends pas pourquoi c’est pas un peu plus répandu…

      • joe2x

        parce que c’est chiant pour l’utilisateur. Pour ma part, je l’utilise pour ma boite principale mais sinon pour des services bcp moins sensible, cela me ferait chi*** à chaque fois de devoir recevoir un SMS (d’autant plus qu’il faille que je capte, que j’ai encore de la batterie, ..)

  • Tony Fiant

    Le mot de passe ultime doit être aléatoire, c’est à dire qu’il ne peut pas être comprimé en une informations plus simple : si l’on reprend l’exemple de ces chercheurs si vous prenez le début de mot armo par exemple, un logiciel aura tôt fait de faire le tour des armoires, armoiries, etc.
    Ne tapez pas au clavier des touches aléatoires car, même là, notre vision de l’aléatoire est biaisée : quand on demande aux gens de choisir un nombre au hasard entre 0 et 9, les 3/4 prennent le 7.
    Le 0 et le 9 sont aux « bords », les multiples de 2 ne sont pas au hasard car multiples de 2, le 5 est au milieu, les multiples de 3, pareils que les multiples de 2. Il reste ce pauvre 7 sans particularité donc on croit que, lui, est plus « hasardeux » que les autres alors que chacun a la même chance.
    Non, faites un tirage de caractères aléatoires (avec un algorithme de temps variable) et là, vous aurez l’arme absolue.
    C’est physique, c’est l’entropie maximale, on ne peut pas synthétiser ce qui est purement aléatoire.

    • Lulilule

      C’est partiellement faux ce que tu viens de dire… C’est pas par que ton mot de passe contient armo que nécessairement la suite du mot est un mot appartenant au dictionnaire français. Quid du fait que tu peux écrire ton mot de passe dans n’importe quelle langue ? Quid des fautes d’orthographe volontaires ou involontaires ?

      Je ne detaillerai même pas la différence qu’il y a entre faire un geste aléatoire sur un clavier et choisir (choisir et aleatoire deja dans la meme phrase ça ne va pas ensemble) un soit disant nombre aléatoire…

      Qui plus est ton mot de passe parfaitement random généré par un algo ne répond pas aux problèmes de memorisation

      • Tony Fiant

        Même chose sur ton commentaire. La faute volontaire ou l’utilisation du Catalan n’augmentera pas exponentiellement les possibilités. Je maintiens ce que je dis. Choisir des mots ou approchant et même sans logique entre eux n’a rien d’imparable, loin s’en faut.
        Je pense que tu n’as pas compris le parallèle que je faisais justement sur les gens qui « choisissent » un nombre aléatoire puisque c’est justement ceci que je voulais faire remarquer en disant que la plupart des gens « choisissent » le 7 car il leur parait plus « aléatoire » que les autres.
        Donc,effectivement, pas besoin de détailler d’autant que je précisais, aussi, que le fait de taper des lettres au hasard sur son clavier n’est pas réellement aléatoire tout comme le choix du 7. Si quelqu’un tape un peu trop d’un côté de son clavier « au hasard », il va vouloir « compenser » en allant ensuite taper sur une autre zone, pas aléatoire du tout comme fonctionnement.
        Quant au problème de mémorisation du pur aléa, c’est simple, plus c’est long, plus c’est difficile à mémoriser et à hacker, le prix à payer.
        Rien ne peut surpasser la difficulté de l’aléatoire, c’est d’ailleurs un des points clés de la théorie de l’information

        • joe2x

          Tu as oublié une étape
          plus c’est long => plus c’est difficile => plus c’est probable de le paumer => plus on serait tenter de le noter quelques part …

          • Tony Fiant

            Rien oublié du tout, je me cite  » plus c’est long, plus c’est difficile à mémoriser et à hacker, le prix à payer », si tu ressens le besoin de le noter, tu sais CONSCIEMMENT que tu fais retomber à zéro le niveau de sécurité.
            Le prix à payer dont je parle est justement cet effort de mémorisation, effort que peu semblent capables de vouloir faire.
            Désolé,mais je ne me trompe jamais, c’est surement là ma plus grande erreur :))

  • Wouarzy

    Jejoueauxdominosavec1lapinrose. Voici un mot de passe simple à retenir. Difficile à craquer.
    Xb[email protected] Voici un mot de passe difficile à retenir, simple à craquer.
    Tout est dans la longueur du mot de passe.

  • gigimig3

    jaimeraismefairelavoisinedudessousquiestvra1mentb0nne
    Voici le mot de passe que tous les hommes retiendront ;)

  • Fred

    déjà dans les années 2000 on avait un système très simple pour sécuriser nos mots de passes.

    On choisissait 2 ou 3 mots, on les collait, et on mettait une suite de chiffres au milieu

    Exemple : table verre sapin, ça donne tableverresapin, mais en mettant des chiffres au milieu, ça donne :

    t1a2b3l4e5 …. etc

  • Tristan Taz

    Vous voulez un MDP aléatoire ? Ok achetez un chaton ou deux. Posez les sur le clavier et je peux vous garantir un résultat unique ! ahahahahahah

    • Koska

      Tu a fais ma journée :)

  • Tasien

    Le pirate qui sais qu’un utilisateur ou un site internet utilise ce genre de phrase fera une attaque par dictionnaire et trouvera le mot de passe bien avant les 3 jours du premier exemple. D’ailleurs 3 jours c’est rapide pour ce genre de mot de passe, ça me parait tiré par les cheveux!
    Pour ce qui est de se souvenir du mot de passe, ca me parait pas si évident non plus…
    Parfait cheval pile agraphé ? Hmmm peut être pas « parfait » peut être « correct ». Et dans quel ordre j’avais mit ces mots? J’avais mit « pile » ou « batterie »? C’était « agraphé » ou « agraphe »? À moins que ce soit comme les québécois disent « broché »?

  • NafN

    La NSA vous remercie, un mot de passe non-aléatoire avec des mots du dictionnaire, aucun problème pour les barbouzes !

  • SNIPER

    rien que l’article me fait mal a la tète lol

  • Mamert Sebastien (Eveldee)

    Ordinateur quantique les gens , tout le monde en à un! >. <

    Sinon pour ceux qui soutiennet que les "double validation" sont utiles , oui certe mais perso j'avais je ne m'amuserais à utiliser un système comme sa.

    Sinon les clé de déchifrements comme sur mega sont très utiles car elle combinent un mdp que vous choississez et une clé pour la décripter qui peut être soit retenu soit mit dans un dossier .txt (sur smart watch , téléphone , tablet , mp4) mais la clé peut être hacker vous me direz^^ Sauf qu'il faut encore mettre le mdp donc le temps pour décripter une clé de ce type est énormément long (sauf si vous avez un ordinateur quantique ! )

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
5G : Huawei atteint une vitesse de 20 Gbps, un record !

Huawei vient de battre un record de vitesse en 5G en utilisant deux relais lui permettant d’atteindre la vitesse vertigineuse de 20 Gbps. Bien que cela ne soit pas pour tout de suite dans l’hexagone, on peut dans tous les cas apprécier les efforts du constructeur pour nous permettre d’atteindre des vitesses de connexions élevées.

abfdf453e6f7a8459c076e236044aa59nnnnnnnnn