Flexible Security for Your Peace of Mind

Pourquoi utiliser des passphrases plutôt que des mots de passe ? Le guide pratique des passphrases

Une passphrase est un mot de passe ; il s’agit simplement d’un mot de passe composé de mots entiers aléatoires (généralement trois ou quatre). Si une passphrase n’est rien d’autre qu’un mot de passe, pourquoi le choix du mot de passe que nous imposons aux utilisateurs finaux est-il important ? En fait, le champ d’application déborde celui de la sémantique : il existe de réels avantages à orienter votre politique de mots de passe vers les passphrases. Nous allons voir pourquoi les passphrases sont plus efficaces en termes de sécurité, comment aider vos utilisateurs finaux à créer des phrases efficaces et comment  renforcer efficacement votre politique de mots de passe.

Passphrases vs. mots de passe

Selon Verizon, 86 % des attaques perçant un accès initial sont réalisées à l’aide d’informations d’identification volées. Un moyen simple de renforcer tous les mots de passe de l’Active Directory de votre organisation consiste à les allonger. Les mots de passe sont ainsi plus difficiles à deviner et à craquer par lors d’attaques par force brute et par dictionnaire hybride. Comme le montre le tableau ci-dessous, les mots de passe soumis à des exigences de complexité et à un algorithme de hachage commun (MD5) deviennent quasiment impossibles à déchiffrer par des techniques de force brute lorsqu’ils comportent plus de 15 caractères.

Temps nécessaire pour déchiffrer les mots de passe hachés au moyen de l’algorithme MD5 – voir l’étude complète ici.

Les mathématiques nous disent que plus un mot de passe est long, plus il est fort. C’est pourquoi nous recommandons toujours que le mot de passe de l’utilisateur final soit supérieur à 15 caractères. Cependant, les longues chaînes de caractères aléatoires sont plus difficiles à retenir pour les utilisateurs finaux. C’est là que les passphrases entrent en jeu – elles sont tout simplement beaucoup plus faciles à retenir une fois que l’on a atteint 15 à 20 caractères ou plus.

De quels éléments ci-dessous vous souviendriez-vous encore dans deux heures : une passphrase de 21 caractères ou le mot de passe de 8 caractères ? Il s’agit d’un concept simple à faire comprendre à n’importe quel utilisateur final, quelles que soient ses compétences en matière de sécurité informatique.

Réfrigérateur-Éléphant-Téléphone

84″fhg#l

Le second mot de passe n’est-il pas plus sûr parce que plus complexe ? Pas nécessairement. L’un des principaux problèmes liés aux mots de passe est que les organisations se sont trop concentrées sur la complexité des mots de passe lors de l’élaboration des politiques relatives aux mots de passe, au détriment de leur longueur.

La complication de la complexité

La complexité était censée rendre les mots de passe plus uniques, mais le comportement des utilisateurs a en fait conduit à la convergence plutôt qu’à la divergence des mots de passe – ils deviennent de plus en plus similaires grâce au recours aux mêmes vieux modèles. Les mots de passe complexes et aléatoires sont difficiles à mémoriser. Cela signifie que les gens ont trouvé des moyens de s’adapter aux exigences de complexité, généralement en utilisant par défaut les mêmes schémas familiers :

  • Un mot courant du dictionnaire ou des suites de clavier en guise de phrase racine
  • Première lettre en majuscule
  • Un ou plusieurs chiffres et un caractère spécial à la fin
  • Des substitutions de caractères courantes (par exemple, @ pour a, ou 0 pour o)

Par exemple, en appliquant les règles ci-dessus, le mot “complicated” devient “Complic@ted1 !. Dans de nombreuses organisations, ce mot de passe serait considéré comme un bon mot de passe, conforme à la politique de mots de passe par défaut d’Active Directory. Bien entendu, les attaquants connaissent ces stratégies et les utilisent pour optimiser leurs attaques par force brute et par dictionnaire hybride. Les exigences traditionnelles en matière de complexité ont principalement rendu les mots de passe difficiles à retenir pour les humains, mais très faciles à deviner pour les logiciels.

Un autre problème lié à l’obligation faite aux utilisateurs de créer des mots de passe complexes est qu’elle augmente le risque de réutilisation des mots de passe. Bitwarden constate que 68 % des internautes gèrent des mots de passe pour plus de 10 sites web, et que 84 % d’entre eux admettent les réutiliser. Si les utilisateurs ont mémorisé un mot de passe complexe, ils seront tentés de le réutiliser au lieu d’essayer de gérer et de se souvenir de 10 mots de passe complexes uniques. La réutilisation des mots de passe augmente considérablement la probabilité qu’un mot de passe soit compromis.

Alors, si la complexité n’est pas le meilleur moyen d’assurer la solidité d’un mot de passe, quelle est l’alternative ? Vous l’avez deviné : des passphrases longues et mémorisables.

Créer une passphrase forte – nos conseils sur les meilleures pratiques

Le passage des mots de passe aux passphrases peut être un peu contre-intuitif au début pour vos utilisateurs finaux . Une petite formation initiale sur la façon dont les mots de passe plus longs sont les plus forts peut aider à faire avancer les choses. Le Centre canadien pour la cybersécurité recommande au moins quatre mots et 15 caractères pour une passphrase. De la même façon, le National Cyber Security Centre du Royaume-Uni recommande de combiner trois mots aléatoires. 

Les générateurs de mots aléatoires peuvent être utiles – la plupart des gestionnaires de mots de passe courants intègrent également des générateurs de passphrases aléatoires. Pour accroître l’entropie du mot de passe (qui mesure la complexité et l’imprévisibilité d’un mot de passe), vous pouvez même encourager les utilisateurs finaux à mal orthographier délibérément l’un des mots, à condition qu’il reste facile à mémoriser.

Trois conseils sur les meilleures pratiques en matière de passphrases

  1. Soyez imprévisible : Le caractère aléatoire est essentiel pour les passphrases. Par exemple, “Michael-Jordan-Basketball” peut être un mot de passe de plus de 20 caractères, mais il n’est pas aléatoire car les mots sont liés entre eux. De même, vous ne voulez pas que les utilisateurs finaux choisissent des mots ou des phrases en rapport avec votre organisation – un outil comme Specops Password Policy vous permet d’ajouter des dictionnaires  de mots bloqués personnalisés à votre Active Directory.
  • Ne jamais réutiliser : Quelle que soit la solidité d’une passphrase professionnelle, elle peut toujours être compromise si un utilisateur final la réutilise sur des appareils personnels via un réseau, une application ou un site web non sécurisé. C’est une habitude difficile à éliminer complètement, c’est pourquoi votre service informatique peut utiliser un outil comme Specops Password Policy pour scanner en permanence votre Active Directory à la recherche de passphrases connues pour être déjà compromises.
  • Activer la MFA : Même après avoir créé une passphrase forte, il est toujours utile d’ajouter une couche supplémentaire d’authentification. L’authentification multifactorielle n’est pas infaillible, mais elle ajoute un obstacle supplémentaire pour les pirates qui parviendraient à compromettre la passphrase de l’un de vos utilisateurs finaux.

Déployer des passphrases pour une meilleure expérience utilisateur

Déployer une nouvelle politique de mots de passe avec Specops Password Policy est simple du point de vue de l’administrateur. Un administrateur peut choisir de ne prendre en charge que les mots de passe traditionnels, les passphrases plus longues et plus sûres, ou les deux. L’administrateur peut également choisir comment l’information est présentée à l’utilisateur final au moment où celui ci essaie de changer son mot de passe. Cela permet à l’administrateur de fournir des informations claires et concises pour aider les utilisateurs finaux à comprendre exactement ce qu’ils doivent faire.

Lors du déploiement d’une nouvelle politique, l’expérience de l’utilisateur final est également importante. Le Specops Authentication Client fournit un feedback dynamique, qui donne aux utilisateurs un aperçu en temps réel de ce qu’ils doivent faire pour se conformer à la nouvelle politique – comme l’adoption d’une passphrase de 15 caractères par exemple. Le vieillissement basé sur la longueur peut également être inclus, ce qui “récompense” les utilisateurs en leur donnant plus de temps pour réinitialiser leur mot de passe lorsqu’ils choisissent un mot de passe plus long.

Retour d’information dynamique Specops et vieillissement basé sur la longueur – non inclus dans l’écran standard de réinitialisation des mots de passe Windows

Vous souhaitez passer d’un mot de passe à une passphrase avec un minimum d’efforts ? Découvrez comment Specops Password Policy pourrait s’intégrer à votre organisation – parlez-en avec un expert dès aujourd’hui.

(Dernière mise à jour le 23/04/2024)

Revenir sur le blog