On nous le répète pourtant assez souvent, quel que soit le site internet sur lequel nous avons un compte il faut un mot de passe complexe. Au risque de paraître à contre-courant je considère que c'est là une précaution inutile* et que "123456" nous protège tout autant - ou aussi peu - que par exemple "azr**ei59hJiF".
Pourquoi j'affirme cela ? Tout simplement parce que la technique "brutale" consistant à essayer un mot de passe jusqu'à ce que ça marche est une technique qui n'existe pas. Les pirates ont autre chose à faire que de tester au clavier "12345" , "password" ou autre "admin_user".
Dans les faits les hackers - dont je ne nie pas l'existence, bien au contraire - volent la base de données contenant votre login et votre mot de passe et cherchent ensuite à "casser" la base dans son ensemble, autrement dit à la décrypter, la décoder. Et à ce stade peu importe que votre mot de passe soit complexe ou pas car l'algorithme qui va le "deviner" n'est pas construit selon un système de force brute, essayer tous les codes possibles et imaginables jusqu'à tomber sur le bon.
Prenons maintenant un raisonnement inverse et imaginons que vous allez pour la première fois sur un site internet et qu'à l'inscription vous entrez votre e-mail en guise de compte utilisateur et "12345" comme mot de passe. Quels sont les risques ?
Primo, vous avez sans le savoir un "key-logger" dans votre ordinateur, un logiciel espion qui va scruter vos frappes clavier. En ce cas peu importe la complexité du mot de passe que vous venez d'entrer puisque c'est la saisie même qui est en cause.
Deuxio, un pirate essaie de se connecter à votre place sur le site en question. Il faut pour cela déjà supposer qu'il a auparavant "volé" votre adresse e-mail ou pourquoi pas l'essayer au hasard (jean.dupont@gmail.com va sûrement se reconnaître ... ).
Mais même ainsi notre pirate n'a pas d'indices, pas plus sur votre mot de passe que sur les sites sur lesquels vous êtes inscrits. On peut ici argumenter que l'utilisation du lien "mot de passe oublié" est un maillon faible dans la protection. Mais si un pirate utilise cette solution, il devra pour réussir avoir déjà piraté l'accès à vos messages e-mail. Sans compter que de toute façon le site concerné renvoit sur une page de ré-initialisation du mot de passe, ce qui implique que le pirate entre son propre mot de passe avec votre compte et que par conséquent il ne connaîtra toujours pas le mot de passe que vous aviez utilisé....
C'est pour toutes ces raisons que je considère qu'un mot de passe compliqué à deviner n'apporte aucune protection supplémentaire par rapport à un mot de passe simple à deviner.
* Oui, j'adore Beaumarchais.
Comments