Bill Burr, 72 ans, est l’expert en sécurité qui a conseillé à tous il y a 15 ans d’utiliser des mots de passe complexe pour garantir la sécurité. Aujourd’hui, ce dernier revient sur ses propos. Explication.
Les mots de passe complexes sont-il vraiment une bonne chose et aussi puissants que l’on ne croit ? Pas sur finalement d’après les récents dires de l’expert en cybersécurité Bill Burr, qui avoue s’être trompé en affirmant cela en 2003 !
En effet, l’homme en question est à l’origine de la publication du rapport de 8 pages intitulé “NIST Special Publication 800-63. Appendix A“, alors qu’il était responsable du National Institute of Standards and Technology. Ce document prônait la complexité des mots de passe et les moyens mnémotechniques de rappel : inclure obligatoirement des caractères spéciaux, des lettres majuscules et minuscules et au moins un chiffre. Le tout, devant être changé régulièrement, tous les 90 jours. Cela peut aboutir sur ce type d’exemples : P@ssw0rd123! / N3v$r M1^d! / $1W@rCr@ft1$!” …
Mais voilà, pour l’expert qui a maintenant 72 ans, cette technique n’est plus valable et ne serait qu’une illusion de robustesse. La cause ? Ces chaines de caractères s’avère maintenant prévisibles par les pirates grâce aux algorithmes utilisés pour compromettre les mots de passe et les caractères choisis par les internautes sont loin d’être aléatoires. Des outils de cracking combinant des dictionnaires gigantesques basés sur des véritables mots de passe et la force brute peuvent tout à fait en venir à bout en quelques jours.
Bien entendu, il n’encourage pas à utiliser les pires mots de passe, tous ridiculement simples… non, il explique qu’il faut au contraire se baser sur des nouvelles recommandations, dont celles du NIST, ayant été mises à jour en juin 2017 par Paul Grassi : utiliser une longue phrase au sens obscur et qui sera plus facile à retenir. Cela donnerait des choses comme : “Undernewsinternetsitethomassécurité“. Aussi surprenant que cela puisse paraître, un mot de passe de ce genre prendra environ 500 ans à des pirates pour être craqué selon le NIST !
De plus, le conseil de changer de mot de passe régulièrement, au moins tous les 90 jours, pousse les utilisateurs à être fainéants et à ne le modifier que très légèrement pour ne pas être obligés de créer et de se rappeler d’un code totalement nouveau.
Concernant les gestionnaires de mots de passe, l’expert déclare que ces derniers aident à générer aléatoirement des mots de passe très complexes et à les stocker en sécurité afin de ne pas avoir à les retenir. Bon point ! Surtout si l’utilisateur respecte les recommandations actuelles du NIST pour choisir un puissant mot de passe maître pour accéder à ce fameux gestionnaire. La boucle est bouclée !