Vous pensez donc que vos mots de passe Internet sont sécurisés?

Vous pensez donc que vos mots de passe Internet sont sécurisés?
Paul Haskell-Dowland
, Auteur fourni

Les mots de passe sont utilisés depuis des milliers d'années pour nous identifier aux autres et, plus récemment, aux ordinateurs. C'est un concept simple - une information partagée, gardée secrète entre les individus et utilisée pour «prouver» l'identité.

Mots de passe dans un contexte informatique émergé dans les années 1960 avec unité centrale ordinateurs - grands ordinateurs fonctionnant de manière centralisée avec des «terminaux» distants pour l'accès des utilisateurs. Ils sont maintenant utilisés pour tout, du code PIN que nous saisissons à un guichet automatique à la connexion à nos ordinateurs et à divers sites Web.

Mais pourquoi avons-nous besoin de «prouver» notre identité aux systèmes auxquels nous avons accès? Et pourquoi les mots de passe sont-ils si difficiles à obtenir?

Qu'est-ce qu'un bon mot de passe?

Jusqu'à récemment, un bon mot de passe pouvait être un mot ou une phrase de six à huit caractères. Mais nous avons maintenant des directives de longueur minimale. C'est à cause de «l'entropie».

Quand on parle de mots de passe, l'entropie est le mesure de la prévisibilité. Le calcul derrière cela n'est pas complexe, mais examinons-le avec une mesure encore plus simple: le nombre de mots de passe possibles, parfois appelé «espace de mot de passe».

Si un mot de passe à un caractère ne contient qu'une lettre minuscule, il n'y a que 26 mots de passe possibles («a» à «z»). En incluant des lettres majuscules, nous augmentons notre espace de mot de passe à 52 mots de passe potentiels.

L'espace du mot de passe continue de s'étendre à mesure que la longueur augmente et que d'autres types de caractères sont ajoutés.


Obtenez les dernières nouvelles d'InnerSelf


Rendre un mot de passe plus long ou plus complexe augmente considérablement le potentiel «espace de mot de passe». Plus d'espace de mot de passe signifie un mot de passe plus sécurisé.

Rendre un mot de passe plus long ou plus complexe augmente considérablement le potentiel «espace de mot de passe». (vous pensez donc que vos mots de passe Internet sont sécurisés)

En regardant les chiffres ci-dessus, il est facile de comprendre pourquoi nous sommes encouragés à utiliser des mots de passe longs avec des lettres majuscules et minuscules, des chiffres et des symboles. Plus le mot de passe est complexe, plus il faut de tentatives pour le deviner.

Cependant, le problème avec la complexité des mots de passe est que les ordinateurs sont très efficaces pour répéter les tâches, y compris deviner les mots de passe.

L'année dernière, un record a été établi pour un ordinateur essayant de générer tous les mots de passe imaginables. Il a atteint un taux plus rapide que 100,000,000,000 XNUMX XNUMX XNUMX de suppositions par seconde.

En exploitant cette puissance de calcul, les cybercriminels peuvent pirater les systèmes en les bombardant avec autant de combinaisons de mots de passe que possible, dans un processus appelé attaques par force brute.

Et avec la technologie basée sur le cloud, deviner un mot de passe à huit caractères peut être obtenu en aussi peu que 12 minutes et coûter aussi peu que 25 $ US.

De plus, comme les mots de passe sont presque toujours utilisés pour donner accès à des données sensibles ou à des systèmes importants, cela motive les cybercriminels à les rechercher activement. Cela stimule également un marché en ligne lucratif vendant des mots de passe, dont certains sont accompagnés d'adresses e-mail et / ou de noms d'utilisateur.

Vous pouvez acheter près de 600 millions de mots de passe en ligne pour seulement 14 AU $!

Comment les mots de passe sont-ils stockés sur les sites Web?

Les mots de passe des sites Web sont généralement stockés de manière protégée à l'aide d'un algorithme mathématique appelé Hachage. Un mot de passe haché est méconnaissable et ne peut pas être reconverti en mot de passe (un processus irréversible).

Lorsque vous essayez de vous connecter, le mot de passe que vous entrez est haché selon le même processus et comparé à la version stockée sur le site. Ce processus est répété à chaque fois que vous vous connectez.

Par exemple, le mot de passe «Pa $$ w0rd» reçoit la valeur «02726d40f378e716981c4321d60ba3a325ed6a4c» lorsqu'il est calculé à l'aide de l'algorithme de hachage SHA1. Essayez-le vous-même.

Face à un fichier rempli de mots de passe hachés, une attaque par force brute peut être utilisée, en essayant chaque combinaison de caractères pour une plage de longueurs de mot de passe. Cela est devenu une pratique si courante qu'il existe des sites Web qui répertorient les mots de passe communs à côté de leur valeur hachée (calculée). Vous pouvez simplement rechercher le hachage pour révéler le mot de passe correspondant.

Le vol et la vente de listes de mots de passe sont désormais si courants, site web dédié - hasibeenpwned.com - est disponible pour aider les utilisateurs à vérifier si leurs comptes sont «dans la nature». Cela a augmenté pour inclure plus de 10 milliards de détails de compte.

Si votre adresse e-mail est répertoriée sur ce site, vous devez absolument changer le mot de passe détecté, ainsi que sur tout autre site pour lequel vous utilisez les mêmes informations d'identification.

Une plus grande complexité est-elle la solution?

On pourrait penser qu'avec autant de violations de mot de passe se produisant quotidiennement, nous aurions amélioré nos pratiques de sélection de mot de passe. Malheureusement, l'année dernière Enquête sur les mots de passe SplashData a montré peu de changement en cinq ans.

L'enquête annuelle sur les mots de passe SplashData 2019 a révélé les mots de passe les plus courants de 2015 à 2019.L'enquête annuelle sur les mots de passe SplashData 2019 a révélé les mots de passe les plus courants de 2015 à 2019.

À mesure que les capacités informatiques augmentent, la solution semble être une complexité accrue. Mais en tant qu'êtres humains, nous ne sommes pas qualifiés (ni motivés pour) nous souvenir de mots de passe très complexes.

Nous avons également dépassé le point où nous n'utilisons que deux ou trois systèmes nécessitant un mot de passe. Il est maintenant courant d'accéder à de nombreux sites, chacun nécessitant un mot de passe (souvent de longueur et de complexité variables). Une enquête récente suggère qu'il y a, en moyenne, 70 à 80 mots de passe par personne.

La bonne nouvelle, c'est qu'il existe des outils pour résoudre ces problèmes. La plupart des ordinateurs prennent désormais en charge le stockage des mots de passe dans le système d'exploitation ou le navigateur Web, généralement avec la possibilité de partager les informations stockées sur plusieurs appareils.

Les exemples incluent Apple iCloud Keychain et la possibilité d'enregistrer les mots de passe dans Internet Explorer, Chrome et Firefox (bien que moins fiable).

Gestionnaires de mots de passe tels que KeePassXC peuvent aider les utilisateurs à générer des mots de passe longs et complexes et à les stocker dans un emplacement sécurisé quand ils en ont besoin.

Bien que cet emplacement doive encore être protégé (généralement avec un long «mot de passe principal»), l'utilisation d'un gestionnaire de mots de passe vous permet d'avoir un mot de passe unique et complexe pour chaque site Web que vous visitez.

Cela n'empêchera pas le vol d'un mot de passe sur un site Web vulnérable. Mais s'il est volé, vous n'aurez pas à vous soucier de changer le même mot de passe sur tous vos autres sites.

Il y a bien sûr des vulnérabilités dans ces solutions aussi, mais c'est peut-être une histoire pour un autre jour.

À propos des auteurs

Paul Haskell-Dowland, doyen associé (informatique et sécurité), Université Edith Cowan et Brianna O'Shea, chargée de cours, Hacking éthique et défense, Université Edith Cowan

Cet article est republié de La Conversation sous une licence Creative Commons. Lis le article original.

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

suivez InnerSelf sur

facebook-icontwitter-iconrss-icon

Recevez le dernier par courriel

{Emailcloak = off}

DES ÉDITEURS

Bulletin InnerSelf: Octobre 25, 2020
by Personnel InnerSelf
Le "slogan" ou sous-titre du site Web d'InnerSelf est "Nouvelles attitudes --- Nouvelles possibilités", et c'est exactement le thème de la newsletter de cette semaine. Le but de nos articles et auteurs est de…
Bulletin InnerSelf: Octobre 18, 2020
by Personnel InnerSelf
Ces jours-ci, nous vivons dans des mini-bulles ... dans nos propres maisons, au travail et en public, et peut-être dans notre propre esprit et avec nos propres émotions. Cependant, vivre dans une bulle ou se sentir comme si nous étions…
Bulletin InnerSelf: Octobre 11, 2020
by Personnel InnerSelf
La vie est un voyage et, comme la plupart des voyages, elle comporte des hauts et des bas. Et tout comme le jour succède toujours à la nuit, nos expériences quotidiennes personnelles vont de l'obscurité à la lumière, et dans les deux sens. Pourtant,…
Bulletin InnerSelf: Octobre 4, 2020
by Personnel InnerSelf
Quoi que nous traversions, à la fois individuellement et collectivement, nous devons nous rappeler que nous ne sommes pas des victimes sans défense. Nous pouvons récupérer notre pouvoir de guérir nos vies, spirituellement et émotionnellement aussi…
InnerSelf Newsletter: Septembre 27, 2020
by Personnel InnerSelf
L'une des grandes forces de la race humaine est notre capacité à être flexible, à être créatif et à sortir des sentiers battus. Être quelqu'un d'autre que nous étions hier ou la veille. Nous pouvons changer...…