Que sont les règles de mot de passe et comment les suivre en toute sécurité?
Il existe de nombreuses directives et bonnes pratiques qui peuvent vous aider à créer un meilleur mot de passe. Cependant, une équipe de recherche de l'Université Carnegie Mellon, dirigée par le professeur Lorrie Cranor, remet en question et redéfinit certains d'entre eux.
L'équipe de Mme Cranor a mis au point un indicateur de sécurité des mots de passe, similaire à ceux qu'utilisent aujourd'hui un grand nombre de sites Web. Cependant, Cranor soutient que ces implémentations actuelles ont des règles en place mais ne les appliquent pas de manière significative. Par exemple, la longueur du mot de passe et un mélange de lettres, de chiffres et de symboles peuvent être une exigence. Cependant, un mot de passe comme '$ chrys4nth3mum $' peut cocher toutes les cases requises sur un vérificateur de mot de passe actuel et être encore assez faible.
Que fait le compteur?
Le compteur de Cranor est équipé d'un algorithme de suggestions qui peut offrir des alternatives aux mots de passe lorsque les utilisateurs les saisissent et tente de les enseigner et de les aider à comprendre pourquoi simplement pousser un `` 1 '' à la fin d'un mot ordinaire que vous utilisez comme mot de passe n'est pas une bonne chose idée. De même, mélanger des majuscules et des majuscules régulières dans la même chaîne devrait être plus que simplement mettre en majuscule la première lettre d'un mot que vous utilisez dans votre mot de passe.
Le laboratoire de sécurité de l'université, sous la supervision de Cranor, a effectué des tests en utilisant un certain nombre de participants qui ont créé leurs propres mots de passe à l'aide des suggestions fournies par le compteur de sécurité. Les utilisateurs ont reçu une seule règle fixe: créer un mot de passe d'au moins 10 caractères. À partir de ce moment, l'algorithme du compteur a commencé à proposer des suggestions dynamiques pour améliorer dynamiquement les mots de passe saisis.
Que pouvez-vous apprendre du lecteur?
Bien que le compteur développé par l'équipe de Cranor n'ait encore été implémenté dans aucun service en direct, les utilisateurs réguliers peuvent en tirer beaucoup de leçons. Il est important de se rappeler qu'utiliser n'importe quel mot du dictionnaire normal comme mot de passe et simplement mettre une lettre devant et un symbole à l'arrière de la chaîne n'est pas une bonne idée.
Le forçage brutal des mots de passe repose souvent fortement sur des dictionnaires prédéfinis et la puissance de calcul actuelle permet à un outil de force brute de passer par des quantités absurdement élevées de tentatives de force brute chaque seconde.
De plus, il est important d'intercaler les symboles et les nombres entre la chaîne de mot de passe et pas simplement de les regrouper à une extrémité de la chaîne.