26/08/2014

Que se passe-t-il avec votre mot de passe ?

Lorrie Faith Cranor a étudié des milliers de vrais mots de passe pour comprendre les erreurs surprenantes, très communes que les utilisateurs - et des sites sécurisés - font pour compromettre la sécurité. Et à partir de là, comment faire pour se trouver un mot de passe difficilement "crackable", surtout si votre mot de passe actuel est 123456 ... 

 


0:11 Je suis professeur d'informatique et d'ingéniérie informatique à Carnegie Mellon, et mes recherches se concentrent sur l'utilisabilité de la vie privée et de la sécurité, et mes amis aiment me donner des exemples de leurs frustrations liées aux systèmes informatiques, particulièrement des frustrations liées à une vie privée et une sécurité qui ne sont pas utilisables.

0:31 J'entends donc beaucoup parler des mots de passe. Beaucoup de gens sont irrités par les mots de passe, c'est déjà assez compliqué d'avoir un très bon mot de passe dont vous pouvez vous souvenir mais que personne d'autre ne peut deviner. Mais que fait-on lorsqu'on a des comptes sur une centaine de systèmes différents et qu'on est sensé avoir un mot de passe unique pour chacun de ces systèmes ? C'est difficile.

0:57 A Carnegie Mellon, ils rendaient la mémorisation de nos mots de passe plutôt facile. Jusqu'en 2009, l'exigence était d'avoir un mot de passe comportant au moins un caractère. Plutôt facile. Et puis les choses ont changé, et fin 2009, ils ont annoncé que nous allions avoir une nouvelle politique, et cette nouvelle politique exigeait des mots de passe d'au moins huit caractères, avec une majuscule, une minuscule, un chiffre, un symbole, vous ne pouviez pas utiliser le même caractère plus de trois fois, et ce ne pouvait pas être un mot du dictionnaire.

1:29 Quand ils ont mis en place cette nouvelle politique, beaucoup de gens, mes collègues et amis, sont venus me voir et ont dit : « C'est vraiment inutilisable. Pourquoi nous font-ils ça, et pourquoi ne les en as-tu pas empêchés ? »

1:40 Et j'ai dit : « Vous savez quoi ? On ne m'a rien demandé. »

1:43 Mais ça a éveillé ma curiosité, et j'ai décidé d'aller parler aux personnes en charge des systèmes informatiques et de découvrir ce qui les a amenés à introduire cette nouvelle politique, et ils ont dit que l'université avait rejoint un consortium d'universités, et que l'une des exigences pour devenir membre était que nous devions avoir des mots de passe plus compliqués qui respectaient de nouvelles exigences, et ces exigences étaient que nos mots de passe devaient avoir beaucoup d'entropie. L'entropie est un terme compliqué, mais en fait ça mesure la sécurité des mots de passe. Mais le fait est qu'en réalité, il n'y a pas de mesure standard de l'entropie. L'Institut National des Standards et de la Technologie (INST) a fixé des règles, qui sont basées sur le bon sens, pour mesurer l'entropie, mais elles n'ont rien de spécifique, et la raison pour laquelle il n'y a que des règles de bon sens est qu'il n'y a pas vraiment de bonne base de données sur les mots de passe. En fait, dans leur rapport, ils déclarent : « Malheureusement, nous n'avons pas beaucoup de données sur les mots de passe que les utilisateurs choisissent selon les règles spécifiques. L'INST aimerait obtenir plus de données sur les mots de passe que les utilisateurs choisissent, mais les administrateurs systèmes sont, on le comprend, réticents à révéler les mots de passe à d'autres personnes. »

2:52 C'est donc un problème, mais notre groupe de recherche l'a envisagé comme une opportunité. Nous avons dit : « Il y a besoin de bonnes données sur les mots de passe. Peut-être que nous pouvons collecter de bonnes données sur les mots de passe et faire avancer l'état de l'art. »

3:05 La première chose que nous avons faite est que nous avons pris un sac plein de sucreries et nous nous sommes promenés dans le campus, nous avons parlé à des étudiants, des professeurs et au personnel, et leur avons demandé des informations sur leurs mots de passe. Nous ne leur avons pas dit : « Donnez-nous votre mot de passe. » Non, nous leur avons simplement posé des questions sur leur mot de passe. Est-il long ? Contient-il un chiffre ? Contient-il un symbole ? Avez-vous trouvé gênant de devoir en créer un nouveau la semaine dernière ? Nous avons eu les résultats concernant 470 étudiants, professeurs et membres du personnel, et avons confirmé que la nouvelle politque était très embêtante, mais nous avons aussi remarqué que les gens disaient qu'ils se sentaient plus en sécurité avec ces nouveaux mots de passe. Nous avons constaté que la plupart des gens savait qu'ils n'étaient pas sensés écrire leur mot de passe sur un papier, et que seulement 13% d'entre eux le faisaient, mais, de façon dérangeante, 80% des gens disaient qu'ils réutilisaient leur mot de passe. C'est en fait plus dangereux que d'écrire votre mot de passe sur un papier, parce que ça vous rend plus exposés aux attaques. Donc, si vous en avez besoin, écrivez vos mots de passe sur un papier, mais ne les réutilisez pas. Nous avons également constaté des choses intéressantes concernant les symboles utilisés dans les mots de passe. La CMU autorise 32 symboles possibles, mais comme vous pouvez le voir, seul un petit nombre est utilisé par la majorité des gens, donc nos mots de passe ne sont pas vraiment beaucoup plus sûrs si on y met des symboles.

4:22 C'était une étude très intéressante, et nous avons maintenant les données de 470 personnes, mais dans la situation actuelle, ça ne représente pas beaucoup de données sur les mots de passe, nous avons donc regardé autour de nous : où pouvions-nous trouver des données additionnelles sur les mots de passe ? Il s'avère que beaucoup de personnes volent des mots de passe, et souvent postent ces mots de passe sur internet. Nous avons donc eu accès à certains de ces ensembles de mots de passe volés. Cependant, ce n'est pas idéal pour la recherche parce que la provenance de ces mots de passe n'est pas totalement claire, ni quelles politiques étaient en place quand les gens ont créé ces mots de passe. Nous voulions trouver une meilleure source de données. Nous avons décidé qu'une chose que nous pouvions faire était de faire une étude et de demander aux gens de créer des mots de passe pour notre étude. Nous avons utilisé un service du nom de Amazon Mechanical Turk, c'est un service où vous pouvez poster un petit job en ligne qui prend une minute, quelques minutes, une heure, et payer les gens, un penny, dix centimes, quelques dollars, pour accomplir une tache pour vous et ensuite vous les payez via Amazon.com. Nous avons payé les gens environ 50 centimes pour créer un mot de passe suivant nos règles et répondre à un sondage, et ensuite nous les payions pour revenir deux jours plus tard se connecter en utilisant leur mot de passe pour répondre à un autre sondage. Nous avons fait ça et nous avons collecté 5000 mots de passe, et nous avons soumis les gens à différentes réglementations pour créer ces mots de passe. Certaines personnes avaient une réglementation plutôt simple, nous appelons ça Basic8, et la seule règle était que votre mot de passe devait faire au moins 8 caractères de long. Et puis d'autres personnes avaient une réglementation bien plus difficile, et qui était très similaire à la politique du CMU, ils devaient avoir 8 caractères dont une majuscule, une minuscule, un chiffre, un symbole, et ne pas être dans le dictionnaire. Et l'une des autres réglementations que nous avons essayées, et il y en avait plein d'autres, mais l'une que nous avons essayée s'appelait Basic16, et la seule exigence était d'avoir un mot de passe d'au moins 16 caractères.

6:19 Nous avions donc 5000 mots de passe, et donc nous avions des informations beaucoup plus détaillées. Encore une fois, nous voyons que seul un petit nombre de symboles est utilisé dans les mots de passe. Nous voulions aussi avoir une idée de la difficulté des mots de passe que les gens créaient, mais comme vous vous souvenez peut-être, il n'y a pas de bonne mesure de la difficulté d'un mot de passe. Nous avons donc décidé de regarder le temps qu'il faudrait pour craquer ces mots de passe en utilisant les meilleurs outils que les voyous utilisent, ou sur lesquels nous pouvions trouver des informations dans la littérature de recherche.

6:53 Pour vous donner une idée de comment les voyous craquent les mots de passe, ils volent un fichier de mots de passe qui contiendra tous les mots de passe sous une forme brouillée, appelée hachage, et ce qu'ils vont faire c'est faire une supposition sur ce qu'un mot de passe peut être, le passer dans une fonction de hachage, et regarder si ça correspond aux mots de passe qu'ils ont sur la liste volée. Un attaquant idiot prendra tous les mots de passe dans l'ordre. Il commencera par AAAAA et ensuite AAAAB, et ça va prendre beaucoup de temps avant qu'il n'obtienne un mot de passe que les gens pourraient avoir. Un attaquant intelligent, d'un autre côté, fait quelque chose de beaucoup plus malin. Il regarde les mots de passe qui sont réputés populaires dans ces listes de mots de passe volés, et il suppose quels sont les premiers. Il va donc commencer par penser à « mot de passe », puis à « je t'aime » et « singe », et « 12345678 » parce que ce sont les mots de passe que les gens ont le plus de chance d'avoir. En fait, certains d'entre vous ont probablement ces mots de passe. Ce que nous avons constaté en testant ces 5000 mots de passe collectés pour connaître leur difficulté, nous avons constaté que les longs mots de passe étaient en fait plutôt difficiles, et que les mots de passe compliqués résistaient aussi plutôt bien. Cependant, quand on regarde les sondages, on remarque que les gens étaient vraiment frustrés par les mots de passe compliqués, et les mots de passe longs étaient beaucoup plus utilisables, et dans certains cas, ils étaient en fait plus difficiles que les mots de passe complexes. Cela suggère que au lieu de dire aux gens qu'ils ont besoin de mettre tous ces symboles et nombres et ces choses un peu folles dans leurs mots de passe, nous ferions mieux de dire aux gens d'avoir des mots de passe longs. Cependant, il reste un problème : certaines personnes ont de longs mots de passe qui ne sont pas très difficiles. On peut faire de longs mots de passe qui sont quand même facilement devinables par un attaquant. Nous devons faire plus que demander des mots de passe longs. Il doit y avoir d'autres exigences, et parmi nos recherches en cours, nous recherchons quelles exigences supplémentaires nous devrions avoir pour faire des mots de passe plus difficiles qui seront également faciles à retenir et à taper.

9:07 Une autre approche pour pousser les gens à avoir des mots de passe plus difficiles est d'utiliser une mesure de mots de passe. Voici quelques exemples. Vous avez les peut-être vu sur internet quand vous créiez des mots de passe. Nous avons décidé de lancer une étude pour voir si ces mesures de mots de passe fonctionnaient ou non. Aident-elles les gens à avoir des mots de passe plus difficiles ? Et si oui, lesquelles sont les meilleures ? Nous avons testé des mesures de mots de passe qui étaient de différentes tailles, formes et couleurs, ayant des mots différents associés, et nous avons même testé un lapin dansant. Quand vous tapez un meilleur mot de passe, le lapin dance plus vite. C'était plutôt amusant.

9:43 Ce que nous avons remarqué était que les mesures de mots de passe fonctionnent. (Rires) La plupart de ces mesures de mots de passe étaient efficaces, et le lapin dansant était également très efficace, mais les mesures de mots de passe qui étaient les plus efficaces étaient celles qui vous faisaient travailler plus dur avant de vous donner le feu vert et de dire que vous faissiez un bon travail, et en fait nous avons remarqué que la plupart des mesures de mots de passe actuellement sur internet étaient trop indulgentes. Elles vous disent trop tôt que vous faites du bon travail, et si elles attendaient juste un petit peu avant de vous donner un retour positif, vous auriez probablement de meilleurs mots de passe.

10:19 Maintenant, une autre approche pour, peut-être, de meilleurs mots de passe, est d'utiliser des phrases de passe à la place des mots de passe. C'était un dessin animé de la xfcd d'il y a quelques années, et le dessinateur suggère que nous devrions tous nous servir d'expressions de passe, et si vous regardez à l'arrière plan de ce dessin animé, vous pouvez voir que le dessinateur suggère que l'expression de passe « correct cheval batterie agrafe » serait une phrase de passe très difficile et très facile à retenir. Il dit, en fait, que vous devriez dejà l'avoir retenue. Nous avons donc décidé de lancer une étude pour découvrir si c'était vrai ou pas. Toutes les personnes auxquelles j'ai parlé, auxquelles j'ai mentionné que je faisais de la recherche sur les mots de passe, toutes m'ont parlé de ce dessin animé. « L'avez-vous vu ? Ce xkcd. Correct cheval batterie agrafe. » Nous avons donc fait l'étude pour voir ce qu'il se passerait.

11:06 Dans cette étude, nous avons à nouveau utilisé Mechanical Turk, l'ordinateur prenait des mots au hasard pour former la phrase de passe. La raison pour laquelle nous avons fait ça est que les humains ne sont pas très bons quand il s'agit de choisir des mots au hasard. Si nous demandions à des humains de le faire, ils choisiraient des choses pas vraiment au hasard. Nous avons essayé plusieurs conditions. Dans une des conditions, l'ordinateur choisissait dans un dictionnaire de mots très communs de la langue anglaise, et donc vous obteniez des expressions de passe comme : « essayer là trois venir ». Nous avons regardé ça et nous avons dit : « Ça ne semble pas très mémorisable. » Alors ensuite nous avons essayé de choisir les mots issus de parties spécifiques du langage, qu'en est-il de nom-verbe-nom-adjectif. Il en ressort quelque chose qui ressemble à une phrase. Vous pouvez obtenir une expression de passe comme : « Projet construit pouvoir sûr » ou « Fin détermine drogue rouge ». Celles-ci semblaient un peu plus mémorisables, et peut-être que les gens les préfèreraient. Nous voulions les comparer avec les mots de passe, l'ordinateur choisissait donc des mots de passe au hasard, qui étaient sympas et courts, mais comme vous pouvez le voir, ils n'ont pas l'air très mémorisables. Nous avons ensuite décidé d'essayer quelque chose qui s'appelle un mot de passe prononçable. L'ordinateur choisit des syllables au hasard et les réunit pour avoir quelque chose de prononçable comme « tufritvi » et « vadasabi ». Ce genre de choses qui se prononcent plutôt bien. C'étaient des mots de passe qui étaient générés au hasard par notre ordinateur.

12:29 Ce que nous avons remarqué dans cette étude est que, étonamment, les expressions de passe n'étaient en fait pas si bonnes que ça. Les gens ne retenaient pas mieux les phrases de passe que ces mots de passe aléatoires, et parce que les phrases de passe sont plus longues, il fallait plus de temps pour les taper et les gens faisaient plus d'erreurs en les tapant. Ce n'est donc pas une victoire nette pour les phrases de passe. Désolée pour tous les fans de xkcd. D'un autre côté, nous avons remarqué que les mots de passe prononçables fonctionnaient étonnamment bien, et nous faisons donc de la recherche additionnelle pour voir si nous pouvons faire fonctionner cette approche encore mieux. Un des problèmes avec certaines des études que nous avons faites est que parce qu'elles sont toutes faites via Mechanical Turk, ce ne sont pas de vrais mots de passe. Ce sont des mots de passe qu'ils ont créés ou que l'ordinateur a créés pour notre étude. Et nous voulions savoir est-ce que les gens se comporteraient de la même façon avec leurs vrais mots de passe.

13:25 Nous nous sommes donc adressés au bureau de la sécurité des informations de la CMU et leur avons demandé si nous pouvions avoir les vrais mots de passe de tout le monde. Ce n'est pas étonnant qu'ils aient été un peu réticents à les partager avec nous, mais nous avons été capables de mettre au point un système avec eux où ils ont mis tous les vrais mots de passe pour 25 000 étudiants, professeurs et membres du personnel de la CMU, sur un ordinateur verrouillé dans une pièce verrouillée, pas connecté à internet, et ils ont lancé un programme que nous avions codé pour analyser ces mots de passe. Ils ont vérifié le programme. Ils ont lancé le programme. Nous n'avons jamais vraiment vu aucun mot de passe.

13:59 Nous avons obtenu des résultats intéressants, et les étudiants de Tepper dans le fond, ceci va vous intéresser. Nous avons constaté que les mots de passe créés par des personnes affiliées à l'école d'informatique étaient en fait 1,8 fois plus difficiles que ceux des personnes affiliées à l'école de commerce. Nous avons également beaucoup d'autres informations démographiques très intéressantes. L'autre chose très intéressante que nous avons constatée est que lorsque nous avons comparé les mots de passe de Carnegie Mellon avec ceux générés par Mechanical Turk, il y avait beaucoup de similitudes, et ça a contribué à valider notre méthode de recherche et montre qu'en fait, collecter des mots de passe en utilisant les études de Mechanical Turk est une façon valide d'étudier les mots de passe. C'étaient donc de bonnes nouvelles.

14:42 OK, pour finir je voudrais parler de d'aperçus que j'ai eu alors que j'étais en année sabbatique l'année dernière à l'école d'art de Carnegie Mellon. Une des choses que j'ai faites est que j'ai fait nombre de couettes, et j'ai fait cette couette-ci. Elle s'appelle la « couverture de sécurité ». (Rires) Et sur cette couette il y a les 1 000 mots de passe les plus fréquemment volés du site RockYou. Et la taille des mots de passe est proportionnelle à leur fréquence d'apparition dans la base de données des vols. Ce que j'ai fait c'est que j'ai créé ce nuage de mots et j'ai parcouru ces 1 000 mots et je les ai classés en catégories thématiques. Et, dans certains cas, il a été assez difficile de déterminer dans quelle catégorie ils devraient être, et ensuite j'ai créé un code couleur.

15:29 Voici des exemples de la difficulté. « Justin ». Est-ce le nom de l'utilisateur, de son copain, de son fils ? Peut-être que c'est juste un fan de Justin Bieber. Ou « princesse ». Est-ce un surnom ? Est-ce un fan des princesses de Disney ? Ou peut-être que c'est le nom de leur chat. « Jetaime » apparaît de nombreuses fois dans de nombreuses langues. Il y a beaucoup d'amour dans ces mots de passe. Si vous regardez attentivement, vous verrez également quelques obscénités, mais pour moi il était très intéressant de voir qu'il y a beaucoup plus d'amour que de haine dans ces mots de passe. Il y a des animaux, beaucoup d'animaux, et « singe » est l'animal le plus commun et le 14ème mot de passe le plus populaire de tous. Et cela m'a paru curieux, et je me suis demandé : « Pourquoi les singes sont-il si populaires ? » Donc dans notre dernière étude sur les mots de passe, à chaque fois que nous détections quelqu'un qui créait un mot de passe contenant le mot « singe », nous leur demandions pourquoi ils avaient « singe » dans leur mot de passe. Et nous avons constaté -- jusqu'ici nous avons trouvé 17 personnes, je crois, qui ont le mot « singe » -- Nous avons remarqué qu'environ un tiers d'entre eux disait qu'ils avaient un animal de compagnie qui s'appelait « singe » ou un ami surnommé « singe », et environ un tiers d'entre eux disait que c'était juste qu'ils aimaient les singes et que les singes sont très mignons. Et celui-ci est vraiment mignon.

16:49 Il semble qu'en fin de compte, quand nous créons nos mots de passe, nous faisons soit quelque chose de très simple à taper, un schéma familier, ou quelque chose qui nous rappelle l'expression « mot de passe » ou le compte pour lequel nous avons créé le mot de passe, ou quoi que ce soit. Ou nous pensons à des choses qui nous rendent heureux, et nous créons notre mot de passe à partir de choses qui nous rendent heureux. Et, alors que ça rend plus amusant le fait de taper et de se souvenir de notre mot de passe, ça rend aussi nos mots de passe plus facilement devinables. Je sais que beaucoup de ces exposés de TED sont source d'inspiration et qu'ils vont font penser à des choses sympas et heureuses, mais quand vous créez votre mot de passe, essayez de penser à quelque chose d'autre.

17:33 Merci.

17:34 (Applaudissements)

Les commentaires sont fermés.