Sélectionner une page


Les publicités qui prétendument vous indiquer quand vous avez entré suffisamment de caractères différents pour créer un mot de passe fort lors de l’inscription à un nouveau site sont pratiquement inutiles, selon un conseiller en sécurité Web.

Les indicateurs, souvent représentés par une barre qui passe du rouge au vert, organisent les mots de passe en fonction de mesures traditionnelles telles que la complexité, la longueur et l’utilisation des caractères. Cependant, il s’avère que la plupart d’entre eux reconnaissent des mots de passe difficiles à deviner ou à prévoir. Cela les amène à donner aux utilisateurs un faux sentiment de sécurité ou, pire encore, des conseils carrément terribles.

Mark Stockley, Le fondateur de Compound Eye Web Consultants a déclaré: «Le problème est que la plupart des compteurs de force de mot de passe ne mesurent pas du tout la force de mot de passe. Le seul bon moyen de mesurer la force d’un mot de passe est de le déchiffrer – une entreprise sérieuse et chronophage qui nécessite des logiciels spécialisés et du matériel coûteux. « 

Au lieu de cela, les compteurs de force de mot de passe mesurent l’entropie – le temps ou l’énergie qu’il faut pour déchiffrer un mot de passe Méthodes de force brute. Plus le mot de passe est long et complexe, plus il faut de temps pour le déchiffrer en parcourant simplement une liste de tous les mots de passe possibles. Cependant, selon Stockley, la force brute est le dernier recours d’un pirate de mot de passe.

«Votre première ligne d’attaque est probablement basée sur des mots de dictionnaire et des règles qui imitent les astuces courantes que nous utilisons pour identifier th3m. La mesure de l’entropie ne dit rien à ce sujet », a déclaré Stockley.

Stockley a testé cinq jauges de force de mot de passe populaires, jQuery Password Strength Meter, pour Twitter Bootstrap, Strength.js, Mato Ilics PWStrength, FormGets jQuery Password Strength et la démonstration de jQuery Password Strength de Paulund.

Il a utilisé cinq des pires mots de passe possibles dans une liste des 10000 mots de passe les plus courants: abc123, trustno1, ncc1701 (numéro d’enregistrement de USS Enterprise de Star Trek), Je t’aime! et prime time21. Tous les cinq ont été détruits en moins d’une seconde par le logiciel open source de craquage de mots de passe, John the Ripper.

Femmes utilisant un ordinateur portable sur le canapé



Certaines données suggèrent que les annonces de mots de passe aident les utilisateurs à choisir de meilleurs mots de passe et améliorent ainsi la sécurité de leurs comptes. Photo: Alamy Banque D’Images

Il a également testé ce qui est considéré comme l’une des meilleures jauges de force de mot de passe, l’open source zxcvbnutilisé par Dropbox et WordPress, entre autres.

Les cinq appareils de mesure de mots de passe populaires n’ont pas réussi à détecter que les cinq mots de passe testés étaient terribles, tandis que zxcvbn les a identifiés comme très faibles. Ils devraient probablement tous simplement dire aux utilisateurs de ne pas utiliser les mots de passe du tout. Il a même été noté trustno1, iloveyou! et prime time21 comme « bon ».

Stockley a déclaré: «Malheureusement, le résultat est exactement le même que [the last time I conducted this test in 2015]. Ils ont tous échoué. « 

D’autres chercheurs sont également arrivés à la même conclusion. Microsoft a publié un article en 2014 À cette fin, d’autres ont appelé à s’écarter du sens traditionnel d’un mot de passe fort et ont utilisé des chaînes complexes dont personne ne peut se souvenir.

Il y a cependant Dates à recommander Ces indicateurs de mot de passe aident les utilisateurs à choisir de meilleurs mots de passe, améliorant ainsi la sécurité de leurs comptes et du site Web sur lequel ils souhaitent s’inscrire dans son ensemble, s’il est correctement configuré.

Le problème est que les mots de passe les plus courants n’excluent pas automatiquement ce qu’eux et le site qui les accepte devraient faire par défaut.

Les conseils sur les mots de passe sont toujours contradictoires et beaucoup recommandent toujours de remplacer plusieurs caractères spéciaux par de vrais mots, mais les phrases de passe – celles qui utilisent une série de mots réels pour faciliter la mémorisation d’un très long mot de passe – sont devenues populaires récemment.

Pour ceux qui ne souhaitent pas utiliser un gestionnaire de mots de passe, WordPress, le système de gestion de contenu utilisé par des millions de sites Web. recommande d’utiliser des mots de passe Par exemple, « Copier le piège des surbrillances », en évitant une série de mots prévisible:

«La longueur d’un mot de passe étant l’un des principaux facteurs déterminant sa force, les phrases de passe sont beaucoup plus sécurisées que les mots de passe traditionnels. En même temps, ils sont beaucoup plus faciles à retenir et à taper. « 

La vérification en deux étapes à l’aide d’autres informations ou codes générés par une application, un porte-clés ou un message texte est également fortement recommandée, car les attaquants devraient faire plus que simplement craquer ou connaître le mot de passe d’un utilisateur. La plupart des sites Web et des services de haut niveau ont des systèmes à deux niveaux et, bien qu’ils constituent un autre obstacle à l’entrée, ils devraient être utilisés.



Source link

Recent Posts