Le mot de passe

Constitution d'un mot de passe

Comme son nom l'indique, un mot de passe est, en général, constitué de quelques mots ou lettres. La qualité et la longueur du mot de passe sont des éléments cruciaux pour la sécurité. Un mot de passe trop court ou provenant d'un dictionnaire est susceptible d'être attaqué via une recherche dans une table contenant une liste de mots de passe. D'une manière plus systématique, une attaque par force brute tente toutes les possibilités et, avec suffisamment de temps, il est théoriquement possible de retrouver le mot de passe. Un compromis est la table arc-en-ciel, une amélioration du principe du compromis temps-mémoire.

Pour ces raisons, il est recommandé d'employer des mots de passe assez longs (au moins 8 caractères) avec un contenu sans signification précise avec un mélange de lettres, de chiffres et de caractères spéciaux comme par exemple : 83Kal2)H. Un mot de passe tel que avion12 aura de grandes chances d'être retrouvé grâce à la combinaison d'une attaque par dictionnaire et de recherche exhaustive. Les contraintes concernant la longueur du mot de passe et le type de contenu dépendent toutefois des systèmes informatiques et des recommandations mises en place par les administrateurs.

Limites à la sécurisation par mot de passe

Il ne faut toutefois pas croire qu'un mot de passe long et sans signification est gage de sécurité. Par exemple un fichier Excel, ou Word que l'on croit protégé sera la plupart du temps instantanément ouvert avec un logiciel de crack : la raison en est que le cryptage choisit par défaut par ces programmes est un cryptage faible (40 bits). Dans ce cas, aussi long que soit le mot de passe, il sera instantanément trouvé par logiciel de crack. D'autres logiciels peuvent piéger l'utilisateur naïf: par exemple ceux proposent de mémoriser les mots de passe et ne les protègent pas, notamment Firefox 1.5 qui propose par défaut l'option d'afficher en clair tous les mots de passe mémorisés  !

Avant de croire que un mot de passe est efficace, il faut donc également s'intéresser à son environnement d'utilisation : l'algorithme de cryptage utilisé, la présence possible de virus "espions" stockant ce qui est tapé au clavier (ou la possibilité de filmer l'utilisateur quand il tape son mot de passe..), mais aussi les autres systèmes limitant les possibilités de fraude, par exemple ceux qui limitent le nombre d'essais infructueux ou introduisent des temps d'attente dissuasifs entre chaque essai.

Copyright 2008 - Société 1001 d'après Wikipédia