Les utilisateurs optent généralement pour des mots de passe faibles

Par Ludovic Blin, secuobs.com
Le 20/03/2006

---

Résumé : Une étude de l’université de Wichita sur les mots de passes généralement choisis révèle la faiblesse de ceux-ci, bien que les utilisateurs soient en général au courant des bonnes pratiques en ce domaine. - Lire l'article



La sécurité des mots de passes est souvent un rempart important contre les intrusions informatiques. En effet, la sécurité d’un système étant définie par son élément le plus faible, il est souvent plus facile de « cracker » ou de deviner un mot de passe faible, que de trouver une faille dans l’infrastructure ou les applicatifs. Pour cela, plusieurs outils permettant d’user de « force brute » sont disponibles, comme par exemple Hydra du groupe THC. Par ailleurs, l’utilisation de rainbow tables permet d’accélérer de manière importante la récupération d’un mot de passe peu complexe à partir d’un hash.

Pour pouvoir résister efficacement à ces techniques employées dans les intrusions réelles (ou parfois les tests d’intrusion), la mise en place d’une politique stricte de sécurité des mots de passes est donc importante. Or, de nombreux utilisateurs utilisent naturellement des mots de passes plutôt simples, comme le démontre une récente étude réalisée par Shannon Riley du laboratoire d’ergonomie logicielle (software usability) du département de psychologie de l’université de Wichita (USA).

Ce dernier a ainsi interrogé 315 étudiants en leur demandant d’exposer les pratiques qu’ils adoptaient en terme de sécurité des mots de passes.

Première constatation, il apparaît que la longueur moyenne des mots de passes utilisés est de 6,84 caractères. Celle-ci paraît trop faible pour assurer une sécurité suffisante, d’autant plus que des tables de hash (rainbow tables) diffusées plus ou moins publiquement permettent de cracker rapidement les mots de passes de moins de 8 caractères.

La plupart des répondants disposent de plusieurs mots de passes (74,9%). Parmi ceux-ci, la moyenne de mot de passes différents se situe à 3,1. Le temps moyen depuis lequel un utilisateur utilise son mot de passes primaire est de 2 ans et 7 mois, 52% des répondants affirmant de jamais changer de mot de passe. 54,9% utilisent comme mot de passes de mot dérivés de leur vie quotidienne (nom de rue, nom d’animal, etc…) et 49,8% des nombres qui sont significatif encore une fois par rapport à leur vie (date de naissance…). Seulement 6 répondants sur 315 déclarent utiliser systématiquement des caractères spéciaux (1,9%).

Une partie significative des étudiants interrogés (42,5%) déclarent également utiliser le même mot de passe pour différents services.

Paradoxalement, malgré ces pratiques relevées, la plupart des utilisateurs paraissent connaître les bonnes pratiques en terme de sécurité des mots de passes. Ainsi, 73% reconnaissent qu’ils devraient changer leur mot de passe tous les 6 mois, 50% qu’ils devraient utiliser des caractères spéciaux, 63,5% plus de 7 caractères et 70% savent qu’il ne faut pas employer de mots relatifs à eux mêmes.

Les pratiques relevées par ces études sont donc typiques la plupart du temps de mots de passes faibles, bien que la plupart des répondants aient une connaissance de la sécurité des mots de passes.

On peut donc en conclure qu’une politique de mot de passes efficace doit être déterminée et imposée (par exemple dans la charte d’utilisation des ressources informatique), mais aussi auditée (il est par exemple possible de vérifier automatiquement chaque nouveau mot de passe lors de sa saisie). Dans le cas contraire, il semblerait que les utilisateurs, en général ne se compliquent pas la tache à causes de problèmes de sécurité, et choisissent des mots de passe faible, privilégiant la facilité d’utilisation.

Lien vers l’étude : lien