Le FBI recommande d’utiliser des ‘phrases de passe’ pour éviter la complexité des mots de passe

Depuis plus de dix ans, les experts en sécurité discutent de la meilleure façon de choisir les mots de passe pour les utiliser sur les comptes en ligne.Il y a un camp qui plaide pour la complexité des mots de passe en ajoutant des chiffres, des lettres majuscules et des caractères spéciaux, et l’autre camp, qui plaide pour travailler la longueur des mots de passe.

Cette semaine, dans sa rubrique hebdomadaire de conseils techniques connue sous le nom de Tech Tuesday, le bureau du FBI de Portland s’est positionné du côté des mots de passe plus longs.

“Au lieu d’utiliser un mot de passe court, complexe et difficile à retenir, pensez à utiliser une phrase de passe plus longue” a déclaré le FBI. “Cela implique de combiner plusieurs mots en une longue chaîne d’au moins 15 caractères”.

“La longueur supplémentaire d’une phrase de passe la rend plus difficile à déchiffrer tout en la rendant plus facile à mémoriser”.

Les phrases de passe sont plus difficiles à déchiffrer

L’idée qui sous-tend les conseils du FBI est qu’un mot de passe plus long, même s’il repose sur des mots plus simples et sans caractères spéciaux, prendra plus de temps à craquer et nécessitera plus de ressources informatiques.

Même si des pirates informatiques volent votre mot de passe, ils n’auront pas la puissance de calcul et le temps nécessaires pour le craquer.

Des recherches universitaires publiées en 2015 soutiennent cet argument, expliquant que “l’effet de l’augmentation de la longueur éclipse l’effet de l’extension de l’alphabet [ajoutant de la complexité]”.

Les conseils du FBI font écho à un webcomic XKCD désormais célèbre qui a fait connaître le concept de phrases de passe aux internautes.

Il existe des services web qui vous aideront à générer des phrases de passe dans le style XKCD. Il existe également des bibliothèques open-source que les développeurs peuvent utiliser pour ajouter une fonction de génération automatique de phrases de passe dans leurs applications.

En outre, les recommandations du NIST concernant les mots de passe, publiées en 2017, incitaient les sites web et les services web à prévoir des champs de mot de passe plus longs, pouvant aller jusqu’à 64 caractères, pour la même raison : permettre aux utilisateurs de choisir des phrases de passe plutôt que des mots de passe courts.

La même directive du NIST a également recommandé d’utiliser des phrases de passe plutôt que des mots de passe lorsque cela est possible, une recommandation reprise dans un conseil de sécurité du DHS publié en novembre 2019, invitant également les utilisateurs à essayer les phrases de passe.

Source : “ZDNet.com”