Microsoft veut en finir avec les mots de passe jugés trop faibles. L’éditeur travaille actuellement à modifier l’ensemble des services reposant sur les comptes Microsoft et Azure AD pour que plus aucun utilisateur ne puisse créer une protection trop simple à deviner.
Les mots de passe faibles sont l’une des principales raisons aux soucis de sécurité que l’on peut rencontrer aujourd’hui, si l’on excepte les fuites de données chez les entreprises. Peu originaux, n’utilisant pas assez de caractères différents (minuscules, majuscules, chiffres et caractères spéciaux) et souvent trop réutilisés d’un site à l’autre, ils n’offrent que de piètres barrières face aux intrusions.
Mots de passe : l'éternel maillon faible
Il existe plusieurs manières de renforcer les mots de passe, dont la méthode pédagogique : marteler les conseils. Mais en arrière-plan, les entreprises qui proposent des services en ligne peuvent aussi mettre en place des processus détectant la force. Beaucoup donnent aujourd’hui un tel indicateur, souvent accompagné par une barre de couleur qui passe du rouge au vert, selon que le mot de passe grandit et que l’on utilise des caractères différents.
Microsoft veut ajouter une protection supplémentaire à ce système. L’éditeur travaille à intégrer dans le processus de création un moteur de comparaison. Objectif : trouver les éventuelles correspondances dans une liste de mots de passe jugés beaucoup trop courants. Si le mot choisi par l’utilisateur y figure, un message l’en informe et lui demande de recommencer.
Chercher les mots de passe trop communs
Dans un petit billet d’annonce, le responsable Alex Simmons rebondit en fait sur la confirmation récente que la fuite chez LinkedIn était beaucoup plus importante que prévu. Rappelons que cette dernière impacte pas moins de 117 millions de comptes, provoquant une réinitialisation des mots de passe pour l’ensemble des utilisateurs touchés.
Cependant, si mettre en place une comparaison de liste est une mesure bienvenue, son efficacité dépend de son exhaustivité. Sur ce point, Ars Technica note que si des mots de passe comme « 1234678 » et « password » sont effectivement refusés, d’autres comme « Pa$$w0rd1 » sont acceptés. Or, en cas de fuite d’informations, le travail des pirates va consister à tenter de deviner les mots de passe des comptes. Selon nos confrères, il ne faudra guère de temps avant que « Pa$$w0rd1 » soit deviné. Ils notent également que d’autres éditeurs, comme Google, l’acceptent également.
En attendant mieux
Reste que les mots de passe, s’ils sont un moyen « commode » de créer un compte, n’ont jamais représenté une protection très fiable. Nombreuses sont les entreprises à tenter d’autres approches, dont la biométrie. Les capteurs ont tendance par exemple à se démocratiser sur les smartphones. Mais dans la plupart des cas, la solution est matérielle et repose sur un mot de passe de secours.
On peut néanmoins recommander les gestionnaires de mots de passe comme Dashlane, LastPass, Keepass ou encore 1Password, qui peuvent non seulement retenir tous les identifiants, mais surtout créer de longs mots complexes.
