Les experts en sécurité de Microsoft ont mis au point un nouveau concept pour générer des mots de passe sécurisés qui éliminent les chaînes facilement oubliables de codes d'identification alphanumériques à plusieurs cas.
Le concept consiste à permettre aux utilisateurs de choisir leurs propres mots de passe relativement simples, à condition que ces mots de passe ne sont pas choisis par trop d'autres personnes sur le système - ce qui rend les attaques par devinettes aléatoires moins réussies.
Nous autoriserions n'importe quel mot de passe que l'utilisateur souhaite, tant qu'il ne s'agit pas d'une cible attrayante pour une attaque par estimation statistique
"Nous avons proposé de remplacer les politiques de mot de passe complexes d'aujourd'hui par une politique simple", ont écrit Stuart Schechter et Cormac Herley dans leur La popularité est tout rapport. "Nous autoriserions n'importe quel mot de passe que l'utilisateur souhaite, tant qu'il ne s'agit pas d'une cible attrayante pour une attaque par estimation statistique."
La tendance récente en matière de protection par mot de passe a été vers des identifiants plus longs et plus compliqués qui sont conçu pour contrecarrer les "attaques par dictionnaire" dans lesquelles les pirates tentent d'essayer des millions de mots de passe sur chaque utilisateur compte.
Règles de mot de passe complexes - telles que "doit contenir au moins 12 caractères, contenir un mélange de majuscules et de minuscules des lettres, des chiffres et au moins un symbole » – rendent difficile pour les pirates de deviner les mots de passe à l'aide d'attaques par dictionnaire.
Cependant, les responsables informatiques doivent appliquer et protéger ces mots de passe en verrouillant les comptes après, disons, trois tentatives infructueuses de connexion, ont déclaré les chercheurs, ce qui entraîne des coûts de support élevés.
Selon les chercheurs, les pirates ont contourné le concept de mots de passe de plus en plus complexes en renversant l'idée.
Au lieu d'appliquer des centaines de milliers de mots de passe à chaque compte, les attaquants choisissent les mots de passe les plus couramment utilisés et les appliquent à des milliers de comptes.
Le schéma des chercheurs protège contre les attaques de devinettes statistiques en comptant simplement combien fois que les utilisateurs sélectionnent un mot de passe donné et une fois cette limite atteinte, plus aucun utilisateur ne peut choisir ce mot de passe mot de passe.
"Remplacer les règles de création de mots de passe par des limitations de popularité a le potentiel d'augmenter à la fois la sécurité et la convivialité", indique le rapport.
"Étant donné qu'aucun mot de passe n'est autorisé à devenir trop courant, les attaquants sont privés des mots de passe populaires dont ils ont besoin pour compromettre une fraction importante des comptes en utilisant des devinettes en ligne."
Bien qu'il s'agisse d'une rupture significative avec la pensée actuelle, le système ne fonctionnerait que pour les systèmes comptant des centaines de milliers d'utilisateurs, tels que Google, Facebook ou Hotmail.
