Soyons honnête, les mots de passe sont ennuyeux. De nos jours, nous avons besoin d'un mot de passe ou d'un NIP un peu partout. Nous en avons tellement que nous ne pouvons tous les garder en note. On oublie de les mettre à jour. Quand nous le faisons, il est difficile de nous en imaginer d'autres qui seraient encore plus efficaces et que nous pourrions encore nous rappeler. Donc nous remettons à plus tard leur modification et ce, pendant des mois, voire des années. Nous savons tous que cela est mauvais mais l'alternative (la pénible et irritante création d'un mot de passe et de son processus de mémorisation) dépasse parfois notre taux de tolérance. Mais il y a de l'espoir pour vous tous. Les mots de passe n'ont pas à être des cryptogrammes complexes. Quelques méthodes simples peuvent vous aider vivre plus facilement avec les mots de passe.
Bien que nous pourrions les trouver ennuyeux et même les prendre pour acquis, il est important de se rappeler pourquoi les mots de passe sont si importants: ils sont souvent la première (et peut-être la seule) défense contre les intrusions (MacGregor). Ils protègent les renseignements personnels : renseignements que nous ne voulons pas que n'importe qui ni que tout le monde sachent. Dans notre vie personnelle, cela signifie l'information financière, les données sur la santé et les documents confidentiels. Dans un contexte professionnel, cette pourrait englober ce qui est considéré essentiel à la réussite de l'organisation: les secrets commerciaux, les données financières, la propriété intellectuelle, les listes de clients, etc
Les mots de passe sont des formes d'identifications plus simples et plus bon marché que d'autres, tels que les cartes-clés spéciales, les machines à reconnaissance d'empreintes digitales et les scanners rétiniens. Les mots de passe offrent un moyen simple et direct de protéger un système ou un compte. Pour les besoins de cet article, nous allons définir un 'mot de passe' comme étant un mot, une phrase ou une combinaison de caractères divers qui authentifie l'identité de l'utilisateur. Les mots de passe sont généralement utilisés en combinaison avec une certaine forme d'identité, tel un nom d'utilisateur, un numéro de compte ou une adresse de courriel. Même si un nom d'utilisateur établit l'identité de l'utilisateur pour un ordinateur ou un système, le mot de passe (qui est connu seulement de l'utilisateur autorisé) authentifie l'utilisateur comme étant celui qu'il prétend être. Cela signifie que leur fonction est de "prouver au système que vous êtes celui que vous dites que vous êtes" (Russell).
Alors que les mots de passe sont une composante vitale de la sécurité du système, ils peuvent être brisés ou cassés plutôt facilement. Briser un mot de passe (cryptanalyse), c'est le processus de trouver ou de briser des mots de passe afin d'obtenir un accès non autorisé à un système ou à un compte. C'est beaucoup plus facile que la plupart des utilisateurs ne le pense. (La différence entre briser un mot de passe et le piratage est que les codes (mots de passe) sont brisés tandis que les ordinateurs, eux, sont piratés.) Les mots de passe peuvent être brisés d'une variété de façons toutes différentes. La façon la plus simple est l'utilisation d'une liste de mots ou d'un programme de dictionnaire pour briser le mot de passe par force brute. Ces programmes comparent des listes de mots ou une combinaison de caractères versus le mot de passe jusqu'à ce qu'ils trouvent une similitude. Si briser des mots de passe semble de la science-fiction, recherchez les mots "Password Cracker" sur Packetstorm ou Passwordportal.net. Il existe également de nombreux outils pour briser un mot de passe que toute personne moyenne peut utiliser. (Pour plus d'informations sur les outils de cassage de mot de passe, s'il vous plaît voir l'article de SecurityFocus: Password Cracker - Ensuring the Security of Your Password.) Un autre moyen facile pour de potentiels intrus d'obtenir des mots de passe est grâce à l'ingénierie sociale: soit prendre physiquement le mot de passe d'un 'Post-It' laissé sous le clavier d'une personne ou en se faisant passer pour un ingénieur informaticien et demander le mot de passe par téléphone. De nombreux utilisateurs créent des mots de passe qui peuvent être devinés par l'apprentissage d'une quantité minimale d'informations sur la personne dont on demande le mot de passe. (Pour plus d'informations sur l'ingénierie sociale s'il vous plaît voir la série SecurityFocus Social Engineering Fundamentals) Une façon plus technique d'apprendre des mots de passe est par le biais de "renifleurs" qui regardent les données brutes transmises à travers l'internet et qui en déchiffrent le contenu. "Un renifleur peut lire chaque frappe envoyée à partir de votre ordinateur y compris les mots de passe" (Université du Michigan). Il est possible que quelqu'un quelque part ait au moins un de vos mots de passe en ce moment.
Maintenant que nous avons établi l'importance des mots de passe et quelques-unes des façons dont ils pourraient être vulnérables à la cryptanalyse (cassage), nous pouvons discuter des moyens de créer de bons et solides mots de passe. En créant des mots de passe solides et efficaces, il est souvent utile de garder à l'esprit quelques-unes des méthodes par lesquelles ils pourraient être brisés. Nous allons donc commencer par ce qu'il ne faut PAS faire lorsque nous choisissons des mots de passe.
Comme cela a déjà été mentionné, les outils pour briser les mots de passe sont très efficaces au traitement de grandes quantités de combinaisons de lettres et de chiffres jusqu'à ce qu'une correspondance pour le mot de passe soit trouvée. Les utilisateurs devraient éviter d'utiliser, comme mots de passe, des mots conventionnels. Dans le même ordre d'idée, ils devraient aussi éviter les mots réguliers avec un chiffre ajouté à la fin et les mots classiques qui sont tout simplement écrit à l'envers, comme "Nimda". Bien que cela pourrait s'avérer difficile aux gens à comprendre, ils ne peuvent rien contre les attaques par force brute venant d'outils pour briser des mots de passe.
Une des choses frustrantes au sujet des mots de passe est de constater qu'ils ont besoin d'être facile à se rappeler de la part de l'utilisateur. Naturellement, cela entraîne de nombreux utilisateurs à intégrer des renseignements personnels dans leurs mots de passe. Toutefois, comme on le verra dans le Social Engineering Fundamentals, il est extrêmement facile pour les pirates informatiques d'obtenir des informations personnelles sur des cibles potentielles. En tant que tel, il est fortement recommandé que les utilisateurs n'utilisent pas ces informations dans leurs mots de passe. Cela signifie que le mot de passe ne doit pas comprendre quoi que ce soit de lié (de proche ou de loin) au nom de l'utilisateur, à son surnom ou au nom d'un membre de sa famille ou d'un animal domestique. Par ailleurs, le mot de passe ne doit pas contenir de numéros facilement reconnaissables comme les numéros de téléphone ou des adresses ou toute autre information que quelqu'un pourrait deviner en ramassant votre courrier.
Un mot de passe solide et efficace exige un degré essentiel de complexité. Trois facteurs peuvent aider les utilisateurs à obtenir cette complexité: la longueur, la largeur et la profondeur. La longueur signifie que plus un mot de passe est long, plus il est difficile à casser. Autrement dit, plus il est long, mieux c'est. Les probabilités dictent que plus un mot de passe est long, plus il sera difficile à briser. Il est généralement recommandé que les mots de passe se situent entre six et neuf caractères. Une plus grande longueur est acceptable tant que le système d'exploitation le permet et que l'utilisateur peut se rappeler le mot de passe. Toutefois, des mots de passe plus courts doivent être évités. La largeur est une façon de décrire les différents types de caractères qui sont utilisés. Ne considérez pas seulement l'alphabet. Il existe également des chiffres et des caractères spéciaux comme '%'. Dans la plupart des systèmes d'exploitation, les lettres du haut et du bas des touches sont également reconnues comme étant des caractères différents. Windows, par exemple, n'est pas toujours sensible au majuscule/minuscule. (Cela signifie qu'il ne reconnaît pas la différence entre 'A' et 'a'.) Certains systèmes d'exploitation permettent aux caractères de contrôle, aux caractères 'alt' et aux espaces d'être utilisés dans les mots de passe. En règle générale, les jeux de caractères suivants doivent tous être inclus dans chaque mot de passe:
La profondeur se réfère au choix d'un mot de passe avec un sens difficile - ce qui n'est pas facilement devinable. Cessez de penser en termes de mots de passe et commencez à penser en termes de phrases. "Un bon mot de passe est facile à mémoriser mais difficile à deviner." (Armstrong) Le but d'une phrase mnémotechnique est de permettre la création d'un mot de passe complexe qui n'aura pas besoin d'être écrit. Des exemples d'une phrase mnémotechnique pourraient inclure une phrase orthographiée phonétiquement, comme "Gesui1Sha!" (au lieu de «Je suis un chat!») ou les premières lettres d'une phrase mémorable comme «lrrbaspdlcp*» = 'le rapide renard brun a sauté par-dessus le chien paresseux.' Qu'est-ce qui pourrait être le plus efficace ? C'est que les utilisateurs choisissent une phrase ayant une signification personnelle (afin de s'en rappeler facilement), de prendre les initiales de chacun des mots dans cette phrase et de convertir certaines de ces lettres en d'autres caractères (un exemple courant est de remplacer la lettre «e» par le nombre «3»). Pour plus d'exemples, voir la University of Michigan Password Security Guide.
Tous les programmes efficaces de cassage de mot de passe comprennent des termes étrangers, des mots à l'envers, etc. Et le moyen le plus simple de voler un mot de passe est de le demander. Il est donc plus simple de ne jamais le donner. Dans certains cas, un bon mot de passe est une protection suffisante pour empêcher les intrus. Dans d'autres cas, c'est juste un début. Le cryptage et les mots de passe à utilisation unique sont des protections supplémentaires pour les systèmes. Le cryptage signifie crypter un mot de passe pour le protéger des "renifleurs" ou de simples badauds, par l'entremise d'un moyen particulier qui peut être déchiffré à l'autre bout de la connexion. Les mots de passe à utilisation unique (S/Key est le plus communément utilisé) sont ce qu'ils disent être. Ils peuvent être utilisés qu'une seule fois. Cela nécessite la réalisation d'une liste de mots de passe ou d'avoir une calculatrice de mot de passe spéciale ou encore SecureCard. Mais cela peut être une méthode très fiable de sécurité de mot de passe. Il existe également certains comportements que les utilisateurs devraient pratiquer afin de maximiser l'efficacité de leurs mots de passe. Les utilisateurs devraient éviter d'utiliser le même mot de passe sur plusieurs comptes. Cela crée un point de défaillance unique. Ce qui signifie que si un intrus accède un compte, il ou elle aura accès à tous les comptes de l'utilisateur. Les utilisateurs ne doivent jamais divulguer leur mot de passe à quiconque à moins de savoir que ces tierces personnes ont l'autorisation pour (à savoir, les administrateurs systèmes). Même alors, les mots de passe ne doivent être divulgués qu'en personne (et non par téléphone ou par courriel) dans un environnement connu et digne de confiance.
Les utilisateurs doivent être extrêmement prudents au moment de noter ou de conserver leur mot passe. Des histoires de pirates obtenant des mots de passe grâce à des regards par dessus une épaule et la fouille de poubelles ne sont pas des mythes urbains, ils sont réels. Les utilisateurs doivent résister à la tentation d'écrire leurs mots de passe sur un Post-It collé à leurs moniteurs ou caché sous leurs claviers. Au lieu de cela, ils doivent choisir des mots de passe qu'ils seront en mesure de se rappeler - ce n'est pas une tâche facile étant donné la complexité nécessaire pour des mots de passe solides et efficaces. Il y a toujours des circonstances extérieures où il faut écrire son mot de passe. Ce n'est pas recommandé. Mais si cela doit être fait, cela devrait être fait avec préméditation et non pas au hasard. L'exemple extrême de mots de passe trop nombreux sont les administrateurs système de contrats ayant plusieurs clients et ordinateurs. Pour ces personnes, le seul conseil est d'écrire des phrases ou une forme d'idée liée au mot de passe pour vous rafraîchir la mémoire. Ensuite, mettez cela sur un morceau de papier que vous porterez sur vous-même. Faites-en peut-être une photocopie et rangez-la dans un endroit sûr à la maison. N'écrivez jamais le mot de passe sur un Post-It. Ne le conservez jamais en ligne. Un indice voilé peut être acceptable mais jamais le mot de passe réel ni même une version cryptée.
Afin de garantir leur efficacité continue, les mots de passe devraient être changés régulièrement. Changer les mots de passe est plutôt assez simple. Les mots de passe Windows sont modifiés par l'intermédiaire du Panneau de Configuration et sous UNIX, la commande 'passwd' fait généralement l'affaire. Une règle d'or consiste à changer les mots de passe autant que possible à l'endroit le plus près du compte réel. Par exemple, s'il s'agit d'un compte FAI, ne pas utiliser telnet au moyen de trois autres machines pour changer ce mot de passe. Si c'est un ordinateur de bureau, lors de la modification du mot de passe, l'utilisateur devrait être sur cet ordinateur et non sur celui d'un collègue de travail. Ne laissez personne vous regarder lorsque vous tapez l'ancien et le nouveau mot de passe. Si possible, le mot de passe doit être changé sur une connexion sécurisée, comme un 'shell' sécurisé (SSH).
Combien de fois doit-on changer les mots de passe dépend vraiment du compte. Ceux des comptes financiers en ligne devrait être changés tous les mois ou deux. Les mots de passe de réseaux d'entreprise devraient être changés tous les 3-4 mois. Un récent article de 2600 recommandait d'étudier «la sensibilité» des ressources que vous essayez de protéger et a suggéré de «faire respecter les changements de mots de passe entre une fois par exercice financier et une fois par trimestre de l'exercice» (Thomas). Il suffit d'utiliser un bon jugement et ne pas être paresseux. Changer un mot de passe est relativement rapide et sans douleur par rapport au processus irritant et coûteux de lutter contre le vol d'identité.
Les gestionnaires et les administrateurs peuvent améliorer la sécurité de leurs réseaux en définissant des politiques de mots de passe solides. Les exigences de mot de passe devraient être intégrées dans les politiques de sécurité de l'organisation. Les administrateurs réseau doivent l'instituer par des changements/mises à jours réguliers des mots de passe. Ils devraient également rappeler régulièrement aux utilisateurs combien il est facile pour les pirates informatiques d'obtenir leurs mots de passe grâce à l'ingénierie sociale et aux attaques en ligne. Les nouveaux utilisateurs devraient être enseignés sur les pratiques d'un bon mot de passe. Fournir des ressources intranet sur la sécurité des réseaux et la sécurité du mot de passe peut aussi être utile. Enfin, la politique de l'organisation sur les mots de passe devrait être intégrée dans la politique de sécurité. Tous les utilisateurs devraient lire la politique et l'accepter en la signant. Les administrateurs systèmes devraient appliquer des balises pour s'assurer que les gens sur leurs systèmes ont des mots de passe suffisamment solides. Ils doivent fixer des dates d'expiration de mot de passe sur tous les programmes en cours d'exécution sur les systèmes de l'organisme. Conservez un historique des mots de passe pour éviter la réutilisation. Verrouillez les comptes après 3-5 tentatives d'entrée du mot de passe. Maintenir aussi limité que possible le nombre de personnes dans l'organisation qui ont ces mots de passe. L'organisation devrait également utiliser des versions plus récentes des systèmes d'exploitation ayant des fichiers de mots de passe et protocoles d'authentification plus sécurisés. Faites également la mise à jour de vos mots de passe de compte individuel. Enfin, lors de l'installation de nouveaux systèmes, assurez-vous alors que les mots de passe par défaut sont immédiatement modifiés.
De toute évidence, les mots de passe ne sont qu'une pièce du casse-tête. D'autres morceaux incluent l'éducation générale des utilisateurs, une bonne sécurité physique, boucher les failles du réseau et l'installation de solides pare-feu. Ceux-ci fournissent une protection beaucoup plus globale dans l'environnement contrôlée des entreprises que seulement utiliser des mots de passe. Mais dans les zones où la seule méthode de contrôle des utilisateurs est un NIP ou un mot de passe, la meilleure chose que nous pouvons faire, c'est être conscient des risques de sécurité et continuer les procédures de contrôle des mots de passe.