La solution au recyclage des mots de passe pourrait être plus facile à
mettre en œuvre qu’on ne le pensait auparavant, selon un article récent
Des chercheurs ont constaté que le fait d’établir une politique de mot
de passe exigeant l’utilisation de mots de passe plus longs et plus complexes
réduit la probabilité que les utilisateurs les réutilisent pour de multiples
services en ligne.
Une équipe de trois universitaires de l’Université de l’Indiana a
entrepris d’examiner l’impact de la prescription de règles pour la création de
mots de passe sur la réutilisation de
ces derniers. Pour ce faire, ils ont d’abord analysé les politiques
en matière de mots de passe de 22 universités aux États-Unis. Ils ont ensuite
fouillé parmi 1,3 milliard de combinaisons nom d’utilisateur/mot de passe qui
sont disponibles en ligne à la suite d’infractions passées. Ce faisant, ils ont
trouvé près de 7,4 millions d’identifiants de connexion où les adresses
électroniques appartenaient au nom de domaine associé aux universités
susmentionnées.
« Sur la base des adresses e-mail appartenant au domaine d’une
université (nous avons vérifié l’adresse de domaine .edu), les mots de passe
ont été compilés et testés par rapport à la politique de mots de passe
prescrite par l’université correspondante, » déclarent les
chercheurs. »
En fin de compte, ils ont constaté que plus la longueur minimale
prescrite d’un mot de
passe ou d’une phrase de passe est élevée, plus la probabilité qu’il
soit réutilisé sur un autre site est faible.
« Il y a une tendance distincte d’avoir une longueur minimale plus
élevée requise, ce qui réduit la probabilité de réutilisation dans plusieurs
universités, » selon la principale conclusion de leur étude, intitulée Facteurs
influençant la réutilisation des mots de passe : Une étude de cas (Factors
Influencing Password Reuse: A Case Study)
Avec son exigence d’une longueur minimale de 15 caractères, l’Université
de l’Indiana (IU) a obtenu les meilleurs résultats. Comme le résume L. Jean
Camp, l’un des trois chercheurs à l’origine du document, l’exigence
d’un mot de passe d’au moins 15 caractères a dissuadé presque tous les
utilisateurs de l’IU (99,98 %) de le recycler sur d’autres sites.
« D’autres universités, ayant moins d’exigences en matière de mots
de passe, avaient des taux de réutilisation pouvant aller jusqu’à 40 pour
cent, » souligne-t-elle. « Moins d’exigences en matière de mot de
passe » signifie ici que le mot de passe ne requiert qu’un minimum de sept
caractères et qu’un mélange de lettres et de chiffres n’est pas nécessaire.
En fait, la complexité des mots de passe est à peu près la même chose.
Les usagers des universités ayant élaboré une politique de mots de passe plus
complexe étaient beaucoup moins susceptibles de voir les mots de passe
universitaires réutilisés que celles qui étaient moins strictes. Dans ce cas,
la cote de complexité la plus élevée équivaut à au moins une lettre minuscule,
une lettre majuscule, un chiffre et un caractère spécial.
Sur la base de leurs conclusions, les chercheurs ont suggéré quatre
recommandations aux organisations et au grand public : augmenter la longueur
minimale des mots de passe au-delà de huit caractères, augmenter le plafond de
la longueur des mots de passe, interdire le nom ou le nom d’utilisateur de
l’utilisateur dans les mots de passe et envisager l’adoption de
l’authentification à facteurs multiples.
ce d’une longueur minimale de 15 caractères, l’Université de l’Indiana (IU) a obtenu les meilleurs résultats. Comme le résume L. Jean Camp, l’un des trois chercheurs à l’origine du document, l’exigence d’un mot de passe d’au moins 15 caractères a dissuadé presque tous les utilisateurs de l’IU (99,98 %) de le recycler sur d’autres sites.
« D’autres universités, ayant moins d’exigences en matière de mots de passe, avaient des taux de réutilisation pouvant aller jusqu’à 40 pour cent, » souligne-t-elle. « Moins d’exigences en matière de mot de passe » signifie ici que le mot de passe ne requiert qu’un minimum de sept caractères et qu’un mélange de lettres et de chiffres n’est pas nécessaire.
En fait, la complexité des mots de passe est à peu près la même chose. Les usagers des universités ayant élaboré une politique de mots de passe plus complexe étaient beaucoup moins susceptibles de voir les mots de passe universitaires réutilisés que celles qui étaient moins strictes. Dans ce cas, la cote de complexité la plus élevée équivaut à au moins une lettre minuscule, une lettre majuscule, un chiffre et un caractère spécial.
Sur la base de leurs conclusions, les chercheurs ont suggéré quatre recommandations aux organisations et au grand public : augmenter la longueur minimale des mots de passe au-delà de huit caractères, augmenter le plafond de la longueur des mots de passe, interdire le nom ou le nom d’utilisateur de l’utilisateur dans les mots de passe et envisager l’adoption de l’authentification à facteurs multiples.