Sécurité : les mots de passe complexes sont les plus simples à pirater

Il y a 15 ans, l’expert en sécurité Bill Burr conseillait à tous les internautes d’utiliser des mots de passe très complexe. Aujourd’hui, le spécialiste revient sur ses propos et affirme finalement que les mots de passe les plus complexes sont les plus simples à pirater.

mot de passe

Depuis maintenant 15 ans, les médias et les experts en informatique répètent le même conseil aux consommateurs pour éviter le piratage informatique. Créer un mot de passe complexe, comportant à la fois des majuscules, des minuscules, des chiffres et différents signes de ponctuation.

À l’origine, ce conseil fut prodigué en 2003 par l’expert en cybersécurité Bill Burr. La raison semble évidente. Un mot de passe complexe semble nettement plus difficile à deviner pour les pirates qu’un mot de passe simple comme ceux du top 10 des pires mots de passe.

Aujourd’hui toutefois, Bill Burr vient de revenir sur ses propos. Selon lui, les mots de passe complexes composés d’une suite de caractères sont finalement beaucoup plus faciles à pirater. Pour cause, en réalité, les suites de caractères choisies par les internautes sont loin d’être aléatoires.

Sécurité : le conseil appliqué depuis 15 ans n’est plus valable

Par peur de ne pas réussir à retenir leurs mots de passe, la plupart des internautes choisissent en fait un mot, et le complètent ensuite avec différents chiffres et caractères de ponctuation, et alternent minuscules et majuscules. Exemple : ‘1(*$PhOnAnDroID »p(p**.

De prime abord, ce mot de passe peut sembler complexe. En réalité toutefois, les outils dont disposent les hackers permettent de deviner très facilement ce type de codes. Ces outils combinent dictionnaire et force brute, et permettent de forcer ce type de mots de passe en quelques jours seulement.

Pour éviter le piratage, le National Institute of Standards and Technology suggère donc un autre conseil. Il s’agit d’utiliser une suite de mots qui n’ont réellement aucun lien entre eux. Exemple : Phonandroidchaussetteparasolpommier. Selon le NIST, un tel mot de passe prendrait à 500 ans à pirater. Il ne vous reste plus qu’à changer vos mots de passe, et à utiliser une application de gestion de mots de passe.

Rappelons également qu’il est préférable de changer ses mots de passe tous les 90 jours. Pour plus de conseils, n’hésitez pas à consulter nos 5 astuces pour ne pas vous faire pirater votre mot de passe.

Réagissez à cet article !
  • Yosenju

    Connerie. Rien que votre exemple prendrait 10000+siècles à être trouvé par Bruteforce

  • iAndroid

    C’est de plus en plus chiant tous ces mots de passe qui en plus faut changer régulièrement.
    L’avenir est le lecteur d’empreintes et éventuellement l’iris de l’œil en plus.

    • Patruche

      Suffit de couper un doigt et voler l’œil de la personne. Alors que le mot de passe, s’il est mort… Beh, c’est mort. [Troll bien sûr]

      • Pfelelep_écrit_en_UTF-8

        T’as l’air de savoir comment marche un capteur d’empreinte, toi…

        • Patruche

          T’as pas dû lire ce qui était écrit entre crochets……………

          • Pfelelep_écrit_en_UTF-8

            A part les abrutis, personne n’écrit ça.

          • Patruche

            T’es vachement sociable comme type toi, à part basher les gens tu fais pas grand chose en fait. Tu dois être marrant dans la vraie vie toi…

          • doggy310

            Vu le personnage, il est pas idiot mais question ouverture au dialogue c’est pas trop ça… Son vrai nom c’est Pfelelep_a_toujours_raison ou Pfelelep_la_mauvaise_foi je crois…

          • Patruche

            Ouais clair c’est pertinent ce qu’il dit mais bon, heureusement qu’il taff pas avec mon équipe qui fait de genre de blagues toute la journée… Les trucs du style « Qu’est ce qui est petit et marron => Un marron », à la pause café ça fuse bien.

    • iAndroid

      Je rectifie :  » je ne comprend pas grand chose à la sécurité mais il afut bien écrire quelque chose. tant qu’à faire, autant que ce soit des conneries. »

  • French Open YouTubers

    Ah le journaliste de bas étage.
    Pour la vrai info, rdz sur Zdnet.

  • French Open YouTubers

    Rien à voir avec la complexité du MDP, c’est juste que l’auteur regrette ses conseils car ce genre de MDP est tellement dur à retenir que les user utilisent 1 mot et change juste avec 1-2 caractère spéciaux.
    Si vous êtes déjà sur de l’aléatoire à plus de 20 caractère , c’est déjà plus sûr.
    Aller sur 01net pour une vrai info et pas le torchon d’ici.

    • Pfelelep_écrit_en_UTF-8

      Le problème est et demeure qu’on met des ânes entre la chaise et le clavier.

      Il n’y a rien de plus simple que de retenir des dizaines de mots de passes différents.

    • Entilore

      NextInpact a fait un excellent dossier sur ça aussi.

  • dtarn

    phonandroidjournalismesérieux Voilà j’ai fait mon mot de passe avec des mots qui n’ont réellement aucun lien entre eux. ;)

  • DroidMan

    Les nouvelles recommandations du NIST vous contredisent sur le fait de changer régulierement de mot de passe… Selon eux il est preferable de ne pas en changer.

    • Pfelelep_écrit_en_UTF-8

      Ne pas changer de mot de passe.
      Ne pas choisir un mot de passe trop complexe.

      Ca c’est de la recommandation d’experts de la sécurité, hein? un truc fédéral US, que du bon, du fiable, du en qui on peut avoir confiance!

      • Patruche

        Je bosse en info dans une structure qui a bien besoin de sécu et t’imagines pas la liste de branquignols ne comprenant pas l’utilité d’avoir un mot de passe autre que « ninja » ou « 1234 »… Comme tu dis sur un autre com, l’ICC – Interface Chaise Clavier est hyper buguée….

      • doggy310

        Ne pas forcer les users à changer de mot de passe trop souvent sauf signe de compromission car sinon les gens mettrons des choses plus simple à retenir, genre
        « Minette.1985 » et changerons genre le dernier digit pour éviter d’oublier tous les 90 jours. Et c’est totalement vrai, je le remarque tous les jours.
        Et il n’est pas question de complexité en soit qui n’est pas bien, mais que en forçant une certaine complexité les users mette finalement des trucs court et simple à retenir, voir minette. Et dans ce genre de cas, oui, il vaut mieux une passphrase de 30 lettres.

        • Pfelelep_écrit_en_UTF-8

          C’est toujours plus simple de retenir 30 caractères que 10, effectivement…

          • doggy310

            Si c’est une suite de mot intelligible et que les 10 c’est totalement aléatoire oui… Car si c’est pour se retrouver avec le prénom et l’année de naissance du fils de la comptable, c’est pas très aléatoire.

  • Salva

    Commence à saouler tous ces mots de passe…. Faut vraiment un truc plus simple à gérer là…

    • Pfelelep_écrit_en_UTF-8

      0000 ça devrait être simple.
      C’est constitué de trucs qui n’ont pas de sens sémantique commun.

      Parfait selon tous les critères. (de la NSA, de Google, des chinois du FBI, de Poutine et des pignoufs qui publient ici)

  • Pfelelep_écrit_en_UTF-8

    A part vous, qui pour reprendre cette ânerie?

    Votre exemple de mot de passe est une catastrophe! OK il est long, et? Avec de l’ASCII 7 bits comme mot de passe, son entropie est ridiculement faible.

    Il n’y a rien de plus simple que d’avoir un mot de passe différent pour chaque site/appli et en changer régulièrement. Vraiment. Je dois en avoir genre 250 changés maxi tous les 6 mois.

    Votre taf ça aurait été de nous expliquer comment.

    Je l’expliquerai à vos lecteurs. Tout à l’heure.

  • Laurent K.

    ca n’a aucun sens … Une suite de lettres est simple à craquer.

    • doggy310

      Tout dépend de la longueur…

  • Pfelelep_écrit_en_UTF-8

    Ca faisait longtemps, tiens…

    https://uploads.disquscdn.com/images/e845e9d4225960c902d9a0143c543510d19827da5e390ceb2ffec16cb6b9549e.png

    • doggy310

      C’est vrai que tout de suite, une suite aléatoire de 25 caractères c’est plus facile à retenir qu’une suite de mot intelligible…

      • Pfelelep_écrit_en_UTF-8

        Je ne sais pas où tu as vu aléatoire. Justement.
        Et c’est aussi tout l’intérêt de ne pas devoir se taper un mdp de 25 caractères pour avoir une force suffisante.

        • doggy310

          Car si c’est pas aléatoire les gens ont tendance à mettre des trucs faciles à se souvenir mais facile à craquer.

          • Pfelelep_écrit_en_UTF-8

            Des trucs comme les conseils bien foireux de l’article.

    • Unkbody

      Moi aussi, mon commentaire est en attente d’approbation alors que je n’ai écrit aucune insulte.

      La guerre entre iAndroid et les autres génèrent des insultes, du manque de respect, des rabaissements d’autrui et la modération tolère ça:
      https://uploads.disquscdn.com/images/442b57f0a70684f0a3bc918f9764fddee3be2ff345081b5ed9943edd8c58a755.png

      Je ne vais pas me casser la tête, je quitte ce site. Au revoir.

      • Pfelelep_écrit_en_UTF-8

        Si les commentaires ne leur plaisent pas, c’est leur problèmes, ils sont à l’image de leur site.
        Les sites sérieux n’ont pas ce genre de souci.

  • Prof

    L’auteur n’a aucune notion d’informatique ou du moins de sécurité ! Il affirme sans s’appuyer sur RIEN que « les outils permettent de deviner très facilement ce type de code » ce qui est archi faux, surtout avec les techniques décrites (brute force et dictionnaire) et le mot de passe pris en exemple. La seule longueur de ce mot de passe suffit à le rendre extrêmement long à casser en brute force et l’ajout de caractères spéciaux en lieu et place des lettres rend totalement inefficace l’attaque par dictionnaire. Bref du grand n’importe quoi. Encore heureux que l’auteur ne fasse pas l’apologie des mots de passe simple….Le truc des mots qui n’ont rien à voir n’a pas vraiment de sens non plus, car dès lors qu’une chaîne de caractères est très longue (plusieurs dizaines de caractères) les possibilités se chiffrent en millions, voire milliards et il faudra des siècles voire des millénaires pour le casser. Niveau serveur, inclure un système type fail2ban qui limite le nombre de tentatives d’authentification dans un certain laps de temps rend quasi impossible le cassage de mot de passe par un tiers. Pour conclure, c’est bien joli de faire des recommandations de bonnes pratiques informatiques, mais encore faut-il savoir de quoi on parle et étayer ses propos par des arguments pertinents.

    • doggy310

      Le truc avec les mots qui n’ont rien n’a voir c’est qu’il est plus facile de retenir 5-6 mots pour un total d’une 30 de caractères que de retenir une suite aléatoire de 10 caractères spéciaux.
      Par contre, il est vrai qu’il est facile de casser un MDP qui est issu du dictionnaire dans lequel on a remplacé des lettre, par exemple c0mm3 ç4.

      • Prof

        Certes, mais ça reste tout de même plus compliqué que sans les lettres remplacées. La faiblesse principale de l’exemple que vous donnez est le nombre de caractères du mdp, une pass phrase relativement longue (plusieurs dizaines de caractères) dans laquelle on remplace en plus certaines chiffres/lettres par d’autres caractères est impossible à trouver dans des délais raisonnables et reste relativement simple à retenir.

  • Gargamel

    c’est exactement ce que je me suis dis. La cia doit avoir du mal a cracker tous les passwords, du coup il faut inciter les gens à remettre des trucs simples en jouant sur la peur ^^

  • JL

    Ça y est, j’ai donc remplacé tous les lors de passe par : abcdefghijklmnopqrstuvwxyz1234567890
    Vu la longueur, je suis absolument tranquille ?
    Non, je vais attendre d’autres avis avant de faire ça…

    • Entilore

      Du coup tu l’as vraiment fait, et KZouwin t’a piraté ton compte ? À moins que ce soit l’inverse…

  • KZouwin

    Ça y est, j’ai donc remplacé tous mes mots de passe par : abcdefghijklmnopqrstuvwxyz1234567890
    Vu la longueur, je suis absolument tranquille ?
    Mais non, je vais attendre d’autres avis avant de faire ça…

    • Entilore

      Du coup tu l’as vraiment fait, et JL t’a piraté ton compte ? À moins que ce soit l’inverse…

      • KZouwin

        Non, c’était juste pour corriger des erreurs de frappe du précédent message (pas trouvé pour faire un rappel de message avant publication…).
        Et… je suis à la fois l’un et l’autre et il n’y a pas eu piratage, en tout cas pas encore…

  • doggy310

    J’ai pas tout lu je me suis arrêté à ton exemple de mot de passe. Considère simplement que l’utilisateur lambda se prend pas la tête, et ce que toi et moi trouvons d’une logique enfantine est trop compliqué pour beaucoup d’utilisateurs. Quand je vois le nombre qui arrive à oublier leurs MDP alors qu’ils mettent des trucs ultra simple, fait pas chercher trop loin. Tu as dis toi même que l’ICC est bête, et ces vrai. Il faut donc leur apprendre des règles les plus faciles et sécurisées possible, et 5-6 mots pour faire 30 caractères environ ça semble un bon compromis.

    • Pfelelep_écrit_en_UTF-8

      T’es même pas foutu de lire avant de répondre…
      J’ai pas dit qu’ils étaient bêtes mais qu’ils mentaient.

      Le contraire de la rédaction qui raconte des âneries en toute bonne foi, guidée par son incompétence et un objectif d’affichage de pubs.

  • Batlongthienam

    Quand tu en as 50 à retenir et qu’il faut sortir le bon avec le bon login associé…Quand tu n’en utilises que de temps en temps …Excuse-moi mais rien est simple et même avec des mots de passe tout simple, tu n’arriveras pas à tout sortir au moment voulu. Un exemple tout bête : quand on rentre de congés, à chaque fois beaucoup de personnes ne se rappellent plus de leur mdp et doivent appeler le service informatique pour réinitialiser…lol

    • Pfelelep_écrit_en_UTF-8

      Oui, le souci c’est l’utilisateur.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
5G : Huawei atteint une vitesse de 20 Gbps, un record !

Huawei vient de battre un record de vitesse en 5G en utilisant deux relais lui permettant d’atteindre la vitesse vertigineuse de 20 Gbps. Bien que cela ne soit pas pour tout de suite dans l’hexagone, on peut dans tous les cas apprécier les efforts du constructeur pour nous permettre d’atteindre des vitesses de connexions élevées.

e189be2cb37d77afb3cd36a3fcacb796OOOOOOOOOOOOOOOOOOOOO