Les 4 fausses bonnes idées répandues dans les formulaires de mots de passe

Nous assistons, ces dernières années, à une prise de conscience globale du rôle majeur de la protection des mots de passe dans la sécurité informatique des entreprises. En témoigne la hausse de 50 % de l’utilisation de gestionnaires de mots de passe observée par le LINC (Laboratoire d’innovation numérique de la CNIL) et Médiamétrie entre 2018 et 2019 (1). Tandis que les autorités compétentes telles que l’ANSSI prodiguent bons conseils et guides pratiques pour aider les professionnels à adopter les bons réflexes, certains freins persistent. C’est par exemple le cas de ces quatre prérequis que l’on retrouve encore fréquemment dans les formulaires de mots de passe… et qui n’aident pas à engager les collaborateurs dans des pratiques plus sécurisées.

 

1- Imposer un nombre maximum de caractères

Aujourd’hui encore, de nombreux formulaires de mots de passe limitent la saisie à un certain nombre de caractères. Cette restriction découle sans doute de l’idée que l’utilisateur ne sera pas en capacité de retenir le mot de passe s’il est trop long. Elle est peut-être aussi liée à une volonté d’éviter les attaques par déni de service (2) causées par une saisie trop longue. Dans ce cas, le site doit en effet faire des calculs sur le mot de passe avant de le stocker (algorithme de hachage), ce qui peut éventuellement poser problème…

En tout cas, le fait de restreindre le nombre de caractères maximum d’un mot de passe empêche de générer ces derniers via un coffre-fort de mots de passe ! Ces derniers étant d’office bien plus longs pour des raisons de sécurité. Autrement dit, la restriction du nombre de caractères prive les utilisateurs de la seule méthode réellement fiable pour définir des mots de passe suffisamment forts. Cette pratique est donc à bannir, ou à étendre à une limite d’au moins 500 caractères !

 

2- Imposer au moins 8 caractères, une minuscule, une majuscule, un chiffre, un caractère spécial

Bien connues, les jauges du type “Veuillez saisir au moins 8 caractères, une minuscule, une majuscule, un chiffre et un caractère spécial” sont fréquentes dans les formulaires de mots de passe. Le principe est fondé puisqu’en effet, plus le mot de passe contiendra de caractères différents, plus il sera complexe à déchiffrer pour un hacker. 

Ceci dit, cela reste une fausse bonne idée si l’on souhaite renforcer la sécurité des mots de passe, car ce format imposé empêche, là encore, le recours à un générateur de mots de passe forts et aléatoires tels qu’il en existe dans les coffres-forts de mots de passe.

D’autant que la longueur de la phrase ou du mot de passe est plus importante que la complexité des caractères qu’ils contiennent, comme nous l’expliquons dans cet article. Dans l’idée, il vaut donc mieux imposer une longueur minimale de 12 caractères et, en complément, estimer la robustesse des mots de passe avec des outils comme Zxcvbn.

 

3- Imposer un renouvellement régulier des mots de passe de vos collaborateurs

Le renouvellement des mots de passe est un sujet qui divise. Certains préfèrent imposer le changement régulier des mots de passe, partant du principe qu’en cas de fuite de données, le renouvellement du mot de passe fera perdre l’accès au pirate via l’ancien mot de passe devenu obsolète.

Cette règle est selon nous une mauvaise idée, car

• En cas de fuite de données, changer son mot de passe plusieurs semaines ou mois plus tard sera probablement déjà beaucoup trop tard.
• Le fait de sursolliciter les utilisateurs en leur imposant de changer leurs mots de passe trop souvent risque de les décourager ou de créer chez eux des comportements qui n’arrêteront aucun hacker, comme le fait d’ajouter une date ou un numéro à la fin du mot de passe existant par exemple…
• Sans compter qu’imposer un renouvellement fréquent des mots de passe génère bien souvent de la perte de temps en termes de gestion des mots de passe oubliés pour les responsables informatiques…
• Par ailleurs, si le site a détecté la fuite de données, il pourra en avertir ses utilisateurs qui devront alors effectivement modifier leur mot de passe immédiatement (et non plusieurs semaines plus tard). Mais si le site n’a pas détecté la fuite de données, alors tant que la faille ne sera pas corrigée, le pirate pourra recommencer son attaque et accéder au mot de passe modifié. Bref, dans les faits, cette règle a probablement un effet limité en termes de sécurité.

Forcer vos collaborateurs à utiliser un coffre-fort de mots de passe aura en revanche  beaucoup plus d’effet positif sur la sécurité. En effet, l’utilisateur sera en mesure de définir un mot de passe aléatoire ce qui empêche le pirate d’extraire le mot de passe de sa version hashée  (sauf si le site qui se fait pirater stocke le mot de passe en clair, mais là, ce n’est pas la faute de vos utilisateurs, c’est de la vôtre).

L’autre intérêt d’un coffre-fort de mots de passe est de permettre à l’utilisateur de ne jamais réutiliser ses mots de passe professionnels  dans sa vie personnelle. Cette pratique induit pour le coup un risque assez élevé que l’utilisateur finisse par saisir son mot de passe sur un site très mal sécurisé et que le pirate parvienne à réutiliser ce mot de passe pour attaquer l’entreprise.

 

4- Essayer d’empêcher les robots de remplir votre formulaire

Bon nombre de formulaires tentent d’empêcher les robots de faire de multiples tentatives de connexion, par exemple via des captcha. Cela part d’une bonne intention, mais dans les faits, le captcha n’est pas vraiment efficace contre les hackers… En revanche, il est redoutable pour empêcher les coffres-forts de mots de passe de fonctionner correctement !

En effet, avec ces systèmes, le remplissage automatique n’est pas possible. (Pire encore lorsque le formulaire bloque les copier/coller dans les champs !). C’est particulièrement frustrant pour les utilisateurs d’un coffre-fort de mots de passe. Or, pour sécuriser les pratiques, il est justement préférable de les aider à utiliser ce type d’outil !

La lutte contre les cyberattaques peut se faire par le biais d’autres mécanismes qu’un programme de captcha par exemple côté serveur (sonde, surveillance de la fréquence de requête par IP…) ou éventuellement par des délais entre chaque soumission de formulaire.

 

Pour résumer, les formulaires de mots de passe trop contraignants ou restrictifs sont une barrière à l’usage de coffres-forts… lesquels sont pourtant indispensables pour accompagner durablement les collaborateurs vers les meilleures pratiques en termes de sécurité des mots de passe. Mieux le coffre-fort de mot de passe peut accomplir ses missions (remplissage automatique, génération de mots de passe forts…), plus la sécurité des mots de passe sera assurée et plus les utilisateurs seront satisfaits d’y prendre part, sans contraintes ni efforts considérables. À bon entendeur pour tous celles et ceux qui paramètrent un peu trop rapidement leur formulaire de mot de passe… 

 

 

(1) Source : https://linc.cnil.fr/fr/barometre-linc-2019-les-pratiques-de-protection-des-donnees-progressent

(2) Une attaque par déni de service est une cyberattaque dans laquelle l’auteur cherche à rendre une machine ou une ressource réseau indisponible pour ses utilisateurs prévus en perturbant temporairement ou indéfiniment les services d’un hôte connecté à un réseau. (Source : Wikipédia)