Microsoft veut en finir avec les mots de passe trop simples
En tout cas certains d'entre eux
Le 28 mai 2016 à 07h00
3 min
Internet
Internet
Microsoft veut en finir avec les mots de passe jugés trop faibles. L’éditeur travaille actuellement à modifier l’ensemble des services reposant sur les comptes Microsoft et Azure AD pour que plus aucun utilisateur ne puisse créer une protection trop simple à deviner.
Les mots de passe faibles sont l’une des principales raisons aux soucis de sécurité que l’on peut rencontrer aujourd’hui, si l’on excepte les fuites de données chez les entreprises. Peu originaux, n’utilisant pas assez de caractères différents (minuscules, majuscules, chiffres et caractères spéciaux) et souvent trop réutilisés d’un site à l’autre, ils n’offrent que de piètres barrières face aux intrusions.
Mots de passe : l'éternel maillon faible
Il existe plusieurs manières de renforcer les mots de passe, dont la méthode pédagogique : marteler les conseils. Mais en arrière-plan, les entreprises qui proposent des services en ligne peuvent aussi mettre en place des processus détectant la force. Beaucoup donnent aujourd’hui un tel indicateur, souvent accompagné par une barre de couleur qui passe du rouge au vert, selon que le mot de passe grandit et que l’on utilise des caractères différents.
Microsoft veut ajouter une protection supplémentaire à ce système. L’éditeur travaille à intégrer dans le processus de création un moteur de comparaison. Objectif : trouver les éventuelles correspondances dans une liste de mots de passe jugés beaucoup trop courants. Si le mot choisi par l’utilisateur y figure, un message l’en informe et lui demande de recommencer.
Chercher les mots de passe trop communs
Dans un petit billet d’annonce, le responsable Alex Simmons rebondit en fait sur la confirmation récente que la fuite chez LinkedIn était beaucoup plus importante que prévu. Rappelons que cette dernière impacte pas moins de 117 millions de comptes, provoquant une réinitialisation des mots de passe pour l’ensemble des utilisateurs touchés.
Cependant, si mettre en place une comparaison de liste est une mesure bienvenue, son efficacité dépend de son exhaustivité. Sur ce point, Ars Technica note que si des mots de passe comme « 1234678 » et « password » sont effectivement refusés, d’autres comme « Pa$$w0rd1 » sont acceptés. Or, en cas de fuite d’informations, le travail des pirates va consister à tenter de deviner les mots de passe des comptes. Selon nos confrères, il ne faudra guère de temps avant que « Pa$$w0rd1 » soit deviné. Ils notent également que d’autres éditeurs, comme Google, l’acceptent également.
En attendant mieux
Reste que les mots de passe, s’ils sont un moyen « commode » de créer un compte, n’ont jamais représenté une protection très fiable. Nombreuses sont les entreprises à tenter d’autres approches, dont la biométrie. Les capteurs ont tendance par exemple à se démocratiser sur les smartphones. Mais dans la plupart des cas, la solution est matérielle et repose sur un mot de passe de secours.
On peut néanmoins recommander les gestionnaires de mots de passe comme Dashlane, LastPass, Keepass ou encore 1Password, qui peuvent non seulement retenir tous les identifiants, mais surtout créer de longs mots complexes.
Microsoft veut en finir avec les mots de passe trop simples
-
Mots de passe : l'éternel maillon faible
-
Chercher les mots de passe trop communs
-
En attendant mieux
Commentaires (54)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/05/2016 à 07h25
Quid de la sécurité avec les gestionnaires de mots de passe ? Mettre tous ses oeufs dans le même panier, n’est ce pas risqué en cas de piratage dudit service, qui stocke en clair nos mots de passe ?
Le 28/05/2016 à 11h26
Le problème n’est pas seulement dans la piètre sécurité apportée par les mots de passe, mais dans le rôle qu’on leur fait jouer :
Jusqu’ici un mot de passe avait pour but de ne permettre que l’accès de son détenteur à un site.
Les méthodes alternatives proposées permettent en outre l’identification de l’utilisateur par le serveur !
Ce n’est pas la même chose d’intervenir avec un pseudo “-zardoz-” et un mot de passe bidon sur ce site et de permettre au site de savoir qu’il s’agit de Jules Dupont qui habite 3, rue du Pou qui vole, à Tarascon !
Et de savoir ainsi, que c’est le même qui intervient ailleurs, sous un autre pseudo, en tant qu’employé d’un annonceur…
Une IP ça peut se déguiser, une empreinte digitale ?
Le 28/05/2016 à 11h46
Le 28/05/2016 à 11h50
Oui, la biométrie identifie mais n’authentifie pas. (Le propre d’un authentifiant correct est de pouvoir être changé d’un claquement de doigt en cas de compromission. C’est un peu plus dur dans le cas d’une empreinte digitale ou d’une rétine " />)
Je ne comprends pas pourquoi MS n’intègre pas un trousseau de clefs comme le fait Apple (de mémoire). Un truc sécurisé, qui génère des MdP fiables et qui s’intègre dans le système pour faire de l’auto-complétion. Un peu ce que propose KeePass quoi.
Le 28/05/2016 à 11h52
Elle est efficace contre les scripts-kiddies germanophones uniquement " />
Le 28/05/2016 à 11h56
Ah c’est sûr que rentrer les 3 premiers chapitres d’A La Recherche du Temps Perdu, ça doit être efficace " />
Le 28/05/2016 à 12h58
" />
Faut être précis avec l’Histoire ^^
Ah oui, tu as raison. Toutes mes confuses …
Le 28/05/2016 à 13h05
Le 28/05/2016 à 14h30
Peu originaux, n’utilisant pas assez de caractères différents (minuscules, majuscules, chiffres et caractères spéciaux) et souvent trop réutilisés d’un site à l’autre, ils n’offrent que de piètres barrières face aux intrusions.
Pourtant c’est simple de se souvenir de mot-de-passe windows avec de minuscules, majuscules, chiffres et caractères spéciaux… Par exemple:
StopPissingMeWithWindows10Upgrade!
" />
Le 28/05/2016 à 14h48
Le 28/05/2016 à 16h47
moi qui utilise le même mot de passe depuis 1997 sur mon hotmail, 4 lettres seulement comme mot de passe!
Je ne peux pas me connecter sur mon compte de xbox live sur la 360 avec ce mot de passe, mais sur la One je peux me connecter, bizzard quand-même.
Je refuse de changer mon mot de passe, et je sait que personne ne pourra le trouver.
J’ai perdu 2 autres comptes hotmail à cause de leur renforcement de sécurité et qui demande des infos que je ne me rapelle plus car j’ai marqué n’importe quoi comme date de fête et infos, car j’avais peur que big brother nous surveille trop.
Mais aussi j’ai souvent vu des amis avoir perdu leur compte de jeu sur battle net à cause qu’ils ne se souviennent plus de leur email. Moi je pense à l’argent qu’ils ont dépensé pour des jeux en téléchargement digital qu’ils ne pourront plus jamais accéder.
Je comprend leur côté de la paranoïa de renforcer leur sécurité, mais c’est à nous de faire attention sur quel site on entre nos infos.Et utiliser plusieurs style de mot de passe permet de se protéger, mais trop de mot de passe différent mènent à l’oubli…
Le 28/05/2016 à 19h25
On peut néanmoins recommander les gestionnaires de mots de passe comme
Le 28/05/2016 à 20h44
J’utilise keepass aussi. Mais au démarrage de windows (au moins le 1er) si je dois me taper un pass généré par keepass en 128 bits… Je vais mourir avant d’avoir réussi 😂
Dommage que Hello ne soit pas un peu plus comme le smart lock d’Android
Le 29/05/2016 à 09h34
Je vois un seul problème à Keepass, c’est que quand je n’ai pas la base de données avec moi, je suis incapable de me connecter à certains services… " />
Le 29/05/2016 à 09h36
Surtout que la longueur n’a normalement aucune importance, s’il est haché derrière.
Le 29/05/2016 à 14h01
Le 28/05/2016 à 07h27
A priori, c’est une excellente nouvelle que MicroSoft s’attaque, enfin, à l’épineux problème des mots de passe faibles.
Cependant, je plains une certaine Mme Michu qui va devoir faire acte de courage et de pugnacité pour trouver un MdP original et fort, et surtout s’en souvenir, ni oublier de le changer de manière régulière.
C’est un exercice délicat auquel peu d’utilisateurs (trices) sont habitués. Mais la sécurité et la sureté de leur vie numérique future est à ce prix.
" />
Le 28/05/2016 à 07h33
Bonjour,
Sauf erreur de ma part, les mots de passe sont stockés chiffrés. Une « clé maître » qui doit être très résistante est utilisée pour sécuriser tous les autres mots de passe.
Le 28/05/2016 à 07h37
Le 28/05/2016 à 07h37
Cette comparaison avec un dictionnaire va se faire avant l’enregistrement ? Car une fois stocké, personne de peut lire le mdp, sauf exception…
Le 28/05/2016 à 07h47
Le 28/05/2016 à 07h54
D’où l’importance de choisir son gestionnaire de mots de passe. Personnellement j’utilise keepass (logiciel libre et open source) , qui génère une bdd de mdp chiffré en aes256 que je synchronise entre mes devices via un owncloud hébergé sur mon dédié. J’estime qu’il faudrait vraiment me cibler personnellement pour récupérer la plupart de mes mots de passe.
Le 28/05/2016 à 08h00
J’étais très sceptique mais Apple a trouvé une solution assez cohérente et moins contraignante que taper le mot de passe.
Pour ma part, j’aimerais que MS s’inspire très fortement de ce système.
Le 28/05/2016 à 08h06
Le 28/05/2016 à 08h13
Je ne suis pas très au fait des qualités intrinsèques des différentes propositions présentées par Vincent dans son article.
En revanche, oui, le fait que certains gestionnaires soit libres et open-source me parait bénéfiques aux utilisateurs meme si ceux-ci n’y comprennent rien à l’usage.
Quant au chiffrement par AES 256, c’est devenu incontournable bien entendu.
" />
Le 28/05/2016 à 08h22
Tu peux toujours comparer les versions “chiffrées”, m’enfin même si cette comparaison avait lieu en clair je vois pas trop le problème, c’est fait au moment de l’inscription ou changement donc rien n’est enregistré.
Le 28/05/2016 à 08h23
Je suis très étonne de lire que Vincent Hermann considère la biométrie comme étant plus forte que l’utilisation de mots de passe.
J’ai très souvent lu personnellement des experts dirent totalement l’inverse …
Le 28/05/2016 à 08h31
</dev/urandom tr -dc ‘12345!@#$%qwertQWERTasdfgASDFGzxcvbZXCVB’ | head -c12; echo “”
Et voilà." />
Le 28/05/2016 à 08h32
Le 28/05/2016 à 08h35
Le 28/05/2016 à 08h35
Le 28/05/2016 à 08h38
Le 28/05/2016 à 08h46
Le 28/05/2016 à 08h58
Pourtant ce n’est pas les mots de passe simple qui font le plus de degats actuellement :/
mais bien l’ingenerie sociale
par ailleur, on est dans le deni > ce n’est pas a la victime d’etre acculee dans tout un tas de procedures pour se proteger
mais a systematiquement poursuivre les auteurs de ses violations
pour faire le paralelle : on a inventer le velo .. on pouvait poser tranquillement son velo sans crainte qu’il soit volé
puis le cadenas parce qu’il y avait des voles et que la repression n’a pas ete a la hauteur du larcin
maintenant il y a des numeros sur les cadres des velos pourtant les voles de velos avec cadenas en U, acier ou chaine rotatives + numeros sur le cadre n’empeche pas les voleurs de continuer et voient meme les chiffres en constante augmentation …
Pour revenir sur l’histoire du mot de passe c’est identique, on aura beau avoir 36 layers de mot de passe des captcha ou autres conneries (avec des images maintenant :/ dont, le comble, les infos passent par les cookies …. en claire )
ca ne fait que ralentir l’utilisateur lambda par des exces de lourdeur, le degouter puis le faire fuir vers d’autres solutions plus simples
> c’est tellement facile de retenir dfb6ec4967d628O79893a44de247a6fba4d54d8533d8e938a5O231c82f66484c amusez vous a essayer de le taper sans faire d’erreur ( sans faire de ctrl c / ctrl v ) :(
Le 28/05/2016 à 09h11
Le 28/05/2016 à 09h31
Reste le problème de certains qui ont une conception de la sécurité des mots de passe très bizarre. Ainsi, la Caisse de Retraite (en France) accepte, lors de la création d’un compte, “bateau123” mais rejette toute tentative d’un mot de passe plus corsé avec mélange de lettres / chiffres / caractères spéciaux et minuscules / majuscules. Bref, selon cette administration (oui tout est dit avec ce mot administration à priori), “bateau123” est réputé plus robuste qu’un mot de passe bien pénible à la “mords-moi-le-noeud”. Ca fait peur !
Le 28/05/2016 à 09h34
Comme certains android Hauts de gamme en fait ?
Le 28/05/2016 à 09h37
c’est un des tests les plus élaborés que j’ai trouvé:
 https://apps.cygnius.net/passtest/
Le 28/05/2016 à 09h38
“Microsoft veut en finir avec les mots de passe trop simples”
Et ils n’y vont pas qu’à moitié " />
  Microsoft
Le 28/05/2016 à 09h56
Sur Mac il y a le trousseau d’accès qui permet de suggérer des mots de passe forts, en général du style 6eg4-gfh5-GJy5-QZp1(tapé au hasard mais reprenant la forme générale), tu peux bien évidement choisir ton propre mot de passe, puis il est stocké et synchronisé entre tes appareils pommés. Lorsque safari reconnaît un site avec un mot de passe enregistré, il propose de pré remplir les champs. Ici encore tout repose sur l’utilisation d’un mot de passe fort pour la session ou pour le déverrouillage du tel.
@GentooUser: énorme, ça c’est de la politique de sécurité ! " />
Le 28/05/2016 à 10h05
Pour le chiffrement des mots de passe (trousseau, portefeuille, etc), il faut abonner le mot de passe pour une phrase passe (minimum 30 caractères) .
Le 28/05/2016 à 10h14
aGuy a écrit :
Au temps pour moi, je ne suis pas sur IOS, je me fie à ce que je vois autour de moi.
Le 28/05/2016 à 10h19
La meilleure stratégie est d’utiliser un password manager genre keepass http://keepass.info/ avec un unique bon mot de passe bien long et de mettre ensuite des vraies longues chaines aléatoires comme mot de passe pour ses comptes.
Le problème: ne pas oublier le mot de passe principal et ne pas perdre le fichier crypté contenant tout ses mots de passe.
Pour le premier point, une stratégie c’est de le noter (ça c’est pas sûr) au début mais comme on doit l’entrer régulièrement, il est vite appris et on détruit (brûle et on disperse les cendres si on est parano) le bout de papier au bout de quelques jours.
Pour le stockage du fichier: on backup voir on fait un “backup sur papier” grâce à http://ollydbg.de/Paperbak/ par exemple. On met ensuite le papier dans un coffre (non la NSA n’est pas à ma recherche)
Le 28/05/2016 à 10h28
Le 28/05/2016 à 10h33
Le 28/05/2016 à 10h38
“Microsoft veut en finir avec les mots de passe trop simples”
Aaah la Sécurité !
Mesdames et Messieurs les simplistes, vous devez évoluer, un PC c’est quelque chose de sérieux et de compliqué, il faut bien réfléchir avant d’adopter un mot de passe !
Hé, Microsoft, on parle un peu des bugs dans les applis, hmmm ?
Le 28/05/2016 à 10h45
J’avais bien compris ton message, je me permettais seulement de montrer ce qu’il NE fallait PAS faire dans un mot de passe fort.
Ma référence aux années de guerre en Europe est, en revanche, tout à fait volontaire.
" />
Le 28/05/2016 à 11h05
Le 29/05/2016 à 21h30
Le 30/05/2016 à 08h05
Le 30/05/2016 à 08h36
Le 30/05/2016 à 11h40
Le 30/05/2016 à 13h05
correct horse battery staple
Le 30/05/2016 à 16h12