Vous êtes sur le site public du Cert-IST
Le choix des mots de passe : mot de passe ou "passphrase"

Date :20 Juin 2005

Publication: Article

Robert Hensing, ingénieur dans l'équipe sécurité de Microsoft, a démarré ce mois-ci un "blog" (contraction de "web log" : journal sur Internet dans lequel l'auteur livre régulièrement ses réflexions) sur le sujet de la sécurité informatique. La lecture de ce journal apportera sans aucun doute un point de vu intéressant sur la sécurité des produits Microsoft.

Le premier sujet abordé dans ce "blog" porte le titre provocateur de "Pourquoi vous ne devriez jamais utiliser de mots de passes dans vos réseaux Microsoft …" . En fait M. Hensing y explique que pour protéger son compte, il ne faut pas utiliser un simple "mot de passe", mais plutôt une "pass-phrase" (i.e. une phrase entière plutôt qu'une mot contenant une suite de caractères plus ou moins complexes). Ainsi, faut-il mieux utiliser comme mot de passe :

  • La chaîne "Kli4ch11" (exemple d'un mot de passe assez complexe)

  • Ou la phrase "Les bulletins M$ sortent le 2eme mardi du mois !" (exemple typique d'une "pass-phrase" contenant 48 caractères) ?

En fait, sous Windows, la seconde solution est possible (le système Windows, depuis sa version NT4, autorise des mots de passe pouvant aller jusqu'à 128 caractères de long), et semble être bien meilleure :

  • Quand un mot de passe dépasse 14 caractères, Windows ne peut plus le stocker sous forme d'une empreinte LM ("LM hash"). Dans le cas contraire (mot de passe de 14 caractères ou moins), Windows (même dans sa version "2003 Server") stocke par défaut le mot de passe sous forme d'une empreinte NT et d'une empreinte LM, et cette dernière est très facile à attaquer en "force brute" (du fait des limitations cryptographiques du modèle "LM hash").

  • Une "pass-phrase" est facile à retenir (plus facile souvent qu'un mot de passe) et respecte souvent spontanément les règles de complexité classiques (utilisation de majuscules, de minuscules, de chiffres et de ponctuations).

  • Elle est aussi impossible à attaquer par "force brute" du fait de sa longueur.

Donc, effectivement, la "pass-phrase" présente des avantages certains par rapport au classique mot de passe. Sa seule limitation est en fait que pour taper sans faute une pass-phrase de 48 caractères, il faut savoir réellement taper à la machine (i.e. avec la virtuosité d'une dactylo). Pour la plupart des personnes ayant l'habitude de taper sur un clavier d'ordinateur, on peut néanmoins estimer que l'utilisation d'une pass-phrase de 15 ou 20 caractères reste tout à fait confortable.

Les politiques de sécurité devraient donc tirer parti de la possibilité qu'offre Windows dans l'utilisation de "mots de passe" longs, pour encourager les utilisateurs à employer des pass-phrases de 15 à 20 caractères plutôt que les classiques mot de passe de 8 caractères.

Pour plus d'information

http://weblogs.asp.net/robert_hensing/archive/2004/07/28/199610.aspx