Les règles de complexité des mots de passe sont contre-productives - pour la plupart.

Les règles de complexité des mots de passe:

1. mettent les utilisateurs en colère, et donc peu coopératifs et susceptibles de ne pas appliquer les règles de protection par mot de passe qu'ils sont seuls à pouvoir appliquer;
2. inciter l'utilisateur à choisir des solutions de contournement créatives pour aller au-delà des règles de mot de passe
3. sont souvent très incomplètes et ne filtrent pas des mots de passe classiques ou bientôt classiques que les utilisateurs trouvent comme solutions de contournement, voir le point 2 ci-dessus. Par exemple "Password1".

La seule règle de complexité de mot de passe "raisonnable" que j'ai encore rencontrée est une longueur de mot de passe minimale. Exiger des mots de passe d'au moins 8 caractères n'est pas une contrainte pour les utilisateurs, c'est compréhensible, et évite les mots de passe qui sont forcément faibles puisqu'ils sont dans la plage des recherches les plus stupides des recherches exhaustives.

D'une part, les règles de complexité ne sont probablement pas bonnes. D'un autre côté, vos «mots absurdes» peuvent ne pas être aussi complexes que vous le pensez.

Il n'y a pas de «vraisemblablement» sur la facilité de la force brute: cela peut être mesuré. Pour un attaquant donné, le coût d'une attaque par force brute est le nombre moyen de tentatives avant de trouver un mot de passe. Bien que vous ne connaissiez pas votre attaquant, vous pouvez supposer qu'il est intelligent et construira son attaque autour de vos méthodes de choix de mot de passe. (Ce sont les attaquants les plus intelligents contre lesquels vous devez le plus vous défendre.) Ce que l'attaquant ne saura certainement pas, c'est la partie que vous choisissez au hasard pour chaque mot de passe. Le caractère aléatoire d'un mot de passe est appelé entropie ; c'est le nombre de pièces retournées pour déterminer le mot de passe, exprimé en bits. L'entropie mesure également le nombre de tentatives de force brute dont un attaquant intelligent aura besoin: avec n bits d'entropie, il y a 2 ⁿ mots de passe possibles , et l'attaquant devra en moyenne en essayer la moitié, 2 ^{n -1} .

Il est courant d'exiger de la ponctuation, des chiffres ou des majuscules, mais cela n'aide pas beaucoup la sécurité. Presque tous les utilisateurs qui auraient choisi un mot du dictionnaire comme mot de passe mettent la première lettre en majuscule et ajoutent un 1 à la fin. Les gens qui déchiffrent des mots de passe ne sont pas stupides: ils incluent ceci et d'autres variations de l33tspeak dans leurs dictionnaires de cracking. Dans l'ensemble, cette exigence peut ajouter un ou deux bits d'entropie en pratique. Il existe de meilleures façons de créer des mots de passe mémorables avec plus d'entropie. Ceci est illustré dans xkcd 936 et décrit sur ce site dans XKCD # 936: Mot de passe complexe court ou phrase de passe de dictionnaire longue? >

Plutôt que de présumer la force de votre générateur de mots absurdes, vous devriez le mesurer. Déterminez comment il génère des mots de passe, et plus précisément quel est le nombre total de mots de passe possibles. Nous ne pouvons pas dire à partir d'un seul exemple. Si le générateur alterne 5 voyelles aléatoires (vraisemblablement a , e , i , o , u ) avec 20 groupes de consonnes aléatoires proprement dits ( b , f , l , rt , st ,…), ce qui fait (5 * 20) ⁵ = 10 ¹⁰ ≈ 2 ³³ . En supposant que vos mots de passe sont correctement protégés, c'est suffisant pour les attaques en ligne et ok pour les attaques hors ligne. (Si vous n'utilisez pas un hachage suffisamment lent, 33 bits sont des cacahuètes.) Si le générateur de mots de passe combine des fragments de mots d'un dictionnaire, l'entropie peut être bien moindre.

Si vous n'êtes pas ' t en mesure de lever les règles de complexité des mots de passe, émettez des mots de passe conformes. Faites des études pour voir s'ils peuvent se souvenir d'une lettre majuscule et d'un chiffre par mot de passe; s'ils ne peuvent pas, mettez toujours la première lettre en majuscule et mettez un 1 à la fin.

Certaines règles de complexité sont contre-productives.

Exemples de règles de complexité moins productives:

• Doit comporter entre 16 et 17 caractères (également une longueur spécifique)
• Doit contenir au moins 3 des éléments suivants - $% ^ & (trop peu de caractères spéciaux à choisir)
• Doit contenir une lettre majuscule, une lettre minuscule, pas de séquence ou des caractères répétés, un chiffre et un signe de ponctuation (trop spécifiques)

Exemples de "bonnes" règles de complexité:

• Doit être plus long que X caractères (encourage les mots de passe plus longs)
• Doit contenir au moins un chiffre (encourage une certaine complexité, mais pas excessive)

La meilleure solution pour moi était d'utiliser un gestionnaire de mots de passe, ce qui permet de se conformer facilement aux règles les plus ridicules, mais je n'oublierai jamais rien.

C'est un cas clair de mettre tous vos œufs dans le même panier, puis de regarder le panier comme un faucon via CCTV, et d'entourer le panier de tigres de garde et de mines terrestres.

Oui. L'état d'esprit en 2018 est que les règles de complexité des mots de passe sont en effet contre-productives. Les récentes Directives d'identité numérique du NIST de juin 2017 (SP 800-63B) le reflètent clairement. Points forts:

• 8 caractères ou plus.
• Les vérificateurs NE DEVRAIENT PAS imposer d'autres règles de composition (par exemple, exiger des mélanges de différents types de caractères ou interdire les caractères répétés consécutivement) pour les secrets mémorisés.
• Les vérificateurs NE DEVRAIENT PAS exiger que les secrets mémorisés soient modifiés arbitrairement (par exemple, périodiquement).
• Lors du traitement des demandes d'établissement et de modification des secrets mémorisés, les vérificateurs DOIVENT comparer les secrets potentiels à une liste qui contient des valeurs connues pour être couramment utilisées, attendues ou compromises.

Si une sécurité plus élevée est nécessaire, utilisez l'authentification multifacteur.

Les mots absurdes sont une bonne idée en supposant que ses règles de composition sont suffisamment aléatoires. Je me méfierais de ne compter que sur un générateur, car son algorithme pourrait être utilisé pour vous aider à casser votre mot de passe - le compléter avec quelque chose de court mais qui n'a de sens que pour vous irait très loin.

=== 2020 janvier update ===

Juste pour insister sur ce point, le NIST a mis à jour sa FAQ (1/8/2020):

Q-B06 : les règles de composition des mots de passe ne sont-elles plus recommandées?

A-B06 : SP 800-63B Section 5.1.1.2, paragraphe 9, recommande contre l'utilisation de règles de composition (par exemple, exigeant des minuscules, des majuscules, des chiffres et / ou des caractères spéciaux) pour les secrets mémorisés. Ces règles offrent moins d'avantages que ce à quoi on pourrait s'attendre car les utilisateurs ont tendance à utiliser des méthodes prévisibles pour satisfaire ces exigences lorsqu'elles sont imposées (par exemple, ajouter un! À un secret mémorisé lorsqu'il est nécessaire d'utiliser un caractère spécial). La frustration à laquelle ils sont souvent confrontés peut également les amener à se concentrer sur la satisfaction minimale des exigences plutôt que sur la conception d'un secret mémorable mais complexe. Au lieu de cela, une liste noire de mots de passe courants empêche les abonnés de choisir des valeurs très communes qui seraient particulièrement vulnérables, en particulier à une attaque en ligne.

Les règles de composition encouragent également par inadvertance les gens à utiliser le même mot de passe sur plusieurs systèmes car ils sont souvent entraînent des mots de passe difficiles à mémoriser pour les gens.

Il est stupidement simple de contourner la plupart des ensembles de règles de complexité de mot de passe évaluables indépendamment; longueur minimale, exigences de cas, exigences de caractères non alpha. "Password1", à moins que votre nom ne soit Joe Password, dépassera la plupart des systèmes de règles car il compte au moins 8 caractères, avec une majuscule et un nombre. C'est aussi la première chose que tout crackbot essaiera.

La règle cardinale de toute exigence de complexité de mot de passe est: Plus vous rendez votre système à utiliser, moins il y aura de personnes qui l'utiliseront . Cela va bien au-delà des règles de complexité des mots de passe, mais comme l'écran de connexion (et l'écran d'enregistrement de l'utilisateur auquel vous vous connectez généralement à partir de là) sont la première véritable interaction de l'utilisateur avec votre système, plus c'est désagréable, moins vos utilisateurs en voudront. pour y faire face, et avec vous. Ceci est particulièrement important si vous essayez de «vendre» votre système à des utilisateurs comme un produit dont ils ne savaient pas qu'ils avaient besoin, ou s'il existe de nombreuses alternatives à vous sur le marché (comme un forum en ligne). Les utilisateurs dans cette situation diront très rapidement "foutez-le, je suis sorti", et il est peu probable que vous les récupériez tous.

Quelques règles supplémentaires suivent naturellement. La première est que vous informez l'utilisateur clairement et simplement des règles que vous avez en place, avant qu'il ne saisisse quoi que ce soit . Ce n’est pas un problème de sécurité que les règles de complexité que vous appliquez soient de notoriété publique, à moins que ces règles réduisent l’entropie possible des mots de passe acceptables (ce que peuvent faire des règles comme une longueur maximale) , et votre utilisateur sera beaucoup moins frustré par votre système qu'il ne le serait s'il devait apprendre les règles par rétro-ingénierie.

Une autre règle est: ne vous écartez pas trop des règles attendues par les utilisateurs . La plupart des utilisateurs sont assez intelligents pour comprendre que la complexité minimale est pour leur propre bien, et ils savent également que les barres de la plupart des sites et des applications sont de hauteur similaire (6 à 8 caractères minimum, une lettre majuscule et un chiffre, ne peuvent en contenir de quelques mots évidents comme "mot de passe"). Appliquer des mots de passe ridiculement longs et compliqués au-delà de la norme implicite (minimum 20 caractères, au moins deux groupes d'au moins 4 chiffres chacun et au moins 5 symboles) ne fera qu'énerver les gens, même si vous leur dites d'avance.

La dernière méta-règle que j'énoncerai est, ne pas appliquer une règle pour elle-même . N'utilisez jamais une règle simplement parce que vous avez vu un autre site ou application le faire, ou même simplement parce que c'est une bonne pratique. Il y a des raisons derrière les meilleures pratiques, mais vous devez connaître et comprendre ces raisons, y compris pourquoi elles peuvent ne pas s'appliquer à votre situation, avant de scotcher une politique de sécurité.

Le jeu de règles que j'aime habituellement est:

• Longueur minimale de 8 caractères.
• Soit une casse mixte, des symboles numériques ou .
• Ne peut pas être composé uniquement d'un mot du dictionnaire.
• Ne peut contenir aucune partie de votre nom, nom d'utilisateur ou date de naissance (si je connais ces choses)
• Impossible d'avoir un "mot de passe interdit" être 50 % ou plus du mot de passe. Les mots de passe interdits incluent tous ceux qui sont déjà apparus sur la liste des 25 meilleurs de SplashData, y compris la plupart des plus grands comme "Password", "letmein", "12345678", etc., ainsi que toute chaîne qui est "intéressante" en sécurité informatique ("correcthorsebatterystaple" , "orpheanbeholderscrydoubt") et tout mot de passe précédemment utilisé et connu pour avoir été compromis. La liste complète serait relativement courte et facilement affichée aux utilisateurs via un lien de la liste des règles.

Essayez de déchiffrer cet exemple de mot de passe. Voyez combien de temps cela prend. Je parie que vous serez surpris.

J'encourage l'utilisation des outils de gestion des mots de passe (LastPass, etc.), des mots de passe longs et complexes et des mots de passe ÉCRITURE (avec les qualifications décrites ci-dessous).

Oui, on dit depuis des années aux gens de ne jamais écrire leurs mots de passe. Mais le modèle de menace a changé. À l'époque où ce conseil est né (dans les années 70), la menace était que les gens attrapaient le post-it sous votre clavier. Maintenant, la plus grande menace est de casser les hachages. Alors maintenant, ma recommandation est de le rendre complexe, ne vous inquiétez pas de vous en souvenir, notez-le et stockez le mot de passe écrit dans un endroit sûr, comme à côté des autres petits morceaux de papier vert que nous sommes tous si bons à protéger.

Si vous écrivez votre mot de passe et le gardez dans votre portefeuille avec votre argent et que vous n'écrivez pas votre nom d'utilisateur ou un nom d'hôte dessus, il est beaucoup moins probable que quelqu'un puisse faire quelque chose de mal avec lui que si vous ne l'écrivez pas mais choisissez un mot de passe simpliste. Le piratage de hachage est la menace beaucoup plus grande que quelqu'un qui vole votre portefeuille et utilise votre mot de passe.

Et bien sûr, n'utilisez jamais le même mot de passe deux fois ou sur des sites différents, etc.

Pour moi, il est devenu si compliqué de créer et de gérer des mots de passe, j'ai recherché et testé environ 6-7 gestionnaires de mots de passe et choisi un bon qui était facile à utiliser, à sauvegarder, à synchroniser, etc. et je suis tellement heureux d'avoir enfin a franchi le pas.

ujrDm-e(5Gi9wSN8N.[(

Est un mot de passe typique qui est généré, alors tout ce que j'ai à faire est de copier / coller si nécessaire. Une seule phrase de passe forte est tout ce dont je dois me souvenir. Cela a totalement simplifié et renforcé l'utilisation de mon mot de passe.

Je pense qu'une meilleure réponse que de simples règles de complexité des mots de passe est d'avoir une (ou deux) règles de mot de passe simples et d'enseigner à votre organisation de bons paradigmes de création de mots de passe. Voici un exemple que j'utilise personnellement.

Les règles: 1. Les mots de passe doivent comporter 12 caractères ou plus 2. Les mots de passe doivent contenir des caractères alphabétiques, numériques et spéciaux.

Paradigme 1: 1. Choisissez un dicton ou un poème préféré 2. Prenez la lettre cohérente dans chaque mot (1er, 2ème, dernier ...) du poème comme partie de votre mot de passe. Appliquez votre choix de substitution d'alphabet (peut être hacket leet e-> 3, a -> @ ...) mais créez-en un si vous ne l'avez pas. Si vous avez besoin de mots de passe différents pour différents systèmes, ajoutez ou retardez un acronyme pour le nom du système orthographié à l'envers (banque -> knab) au mot de passe.

Pour une organisation, vous pouvez proposer plusieurs paradigmes si vous le souhaitez , ou des paradigmes qui ont différents niveaux de critères de sécurité.

Bien sûr, les paradigmes peuvent nécessiter une explication un peu plus précise, mais en général, l'avantage de cette méthode est:

1. Les «règles» sont simples et peuvent être rapidement validées dans les interfaces utilisateur et autres composants du système.
2. Votre communauté d'utilisateurs a tendance à être plus conforme à la création de mots de passe plus robustes et difficiles à déchiffrer, car ils ont maintenant le mental outils pour le faire.
3. La récupération des mots de passe par l'utilisateur est plus facile et moins risquée (écriture du mot de passe réel, vs écriture des critères de paradigme).
4. Utilisateurs peut créer des mots de passe spécifiques au système qui sont assez difficiles, mais toujours mémorisables.