Crédits : Miguel Á. Padriñán / Pexels

La majorité des mots de passe compromis sont de “bons mots de passe”

De nouvelles recherches montrent que les recommandations réglementaires sur la complexité et la construction des mots de passe ne sont pas suffisantes.

Une nouvelle étude a examiné une base de données de plus de 800 millions de mots de passe connus et piratés. Celle-ci révèle que 83% d’entre eux respectaient les normes de sécurité de base établies par cinq organismes de normalisation différents.

Concrètement, l’équipe de recherche de Specops Software a partagé les résultats de son analyse sur le nombre de mots de passe compromis trouvés dans des ensembles de données de mots de passe ayant fait l’objet de fuites. À savoir que, si ces mots de passe n’étaient pas compromis, ils correspondraient techniquement aux normes réglementaires. Cette analyse coïncide avec le dernier ajout de plus de 24 millions de mots de passe compromis au service Specops Breached Password Protection.

Les mots de passe compromis respectent les recommandations

L’équipe a comparé les règles de construction de 5 normes différentes à un ensemble de données de 800 millions de mots de passe compromis. Par “normes” il faut comprendre les longueurs minimales des mots de passe et recommandations prescrites par NIST, HITRUST pour HIPAA, PCI, ICO pour le Règlement général sur la protection des données, et par Cyber Essentials pour NCSC. Les longueurs recommandées allaient de sept à dix caractères et les mots de passe conseillés comprenaient des exigences en matière de complexité, de caractères spéciaux et de chiffres.

Par exemple, Cyber Essentials recommande de fixer une longueur minimale de mot de passe d’au moins 8 caractères, de ne pas fixer de longueur maximale pour les mots de passe et de changer rapidement les mots de passe lorsque l’on soupçonne un piratage. Le RGPD ne fournit pas de conseils spécifiques sur les mots de passe, mais l’Information Commissioner’s Office (ICO), qui se charge de faire appliquer le règlement, indique quelques conseils non contraignants. Par exemple, la longueur minimale doit être de 10 caractères et il ne doit pas y avoir de maximum. Il recommande également de bloquer l’utilisation de mots de passe courants et faibles. Enfin, l’ICO conseille de comparer les mots de passe à une liste des mots de passe les plus couramment utilisés, des mots de passe ayant fait l’objet d’une fuite à la suite d’une violation et des mots devinables liés à l’organisation. Une étape essentielle.

En bref, un bon nombre de ces normes recommandent ou exigent l’utilisation d’une liste de mots de passe compromis connus. Et ce, afin d’empêcher l’utilisation de mots de passe violés. La raison est simple : l’ensemble des mots de passe compromis connus répondrait autrement aux recommandations réglementaires, indique l’étude de Specops.

L’importance de vérifier les mots de passe compromis

“Ce que ces données nous disent vraiment, c’est qu’il y a une très bonne raison pour laquelle certaines recommandations réglementaires incluent maintenant une vérification des mots de passe compromis”, a déclaré Darren James, spécialiste des produits chez Specops Software. Il ajoute, “la complexité et d’autres règles peuvent aider, mais le mot de passe le plus conforme du monde ne fait rien pour protéger votre réseau s’il figure sur la liste des mots de passe compromis d’un pirate”.

Dans l’étude, un graphique montre quel pourcentage de l’ensemble des mots de passe compromis connus répondrait autrement aux recommandations réglementaires.

En effet, lorsque l’équipe a analysé l’ensemble des données relatives aux mots de passe compromis pour trouver des mots de passe de 8 caractères ou plus, elle a constaté que 82,98 % des mots de passe répondaient à cette exigence de Cyber Essentials. De même, lorsque l’équipe a analysé l’ensemble des mots de passe compromis à la recherche de mots de passe qui répondraient aux recommandations, elle a constaté que 43,48 % des mots de passe compromis répondaient à la norme de longueur des mots de passe de l’ICO.

En bref, les mots de passe qui, autrement, répondraient aux recommandations réglementaires et qui se trouvent dans des listes de mots de passe compromis ne doivent pas être ignorés. Face aux attaques, utiliser l’authentification multifacteur et éviter la transmission d’un code par SMS semblerait être deux barrières assez efficaces. Le code de vérification par SMS est une technique de vérification qui comporte de nombreuses vulnérabilités.

_
Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.