Cet article date de plus d'un an.

Piratage informatique : les mots de passe de huit caractères, même complexes, ne suffisent plus

Aujourd'hui c'est demain Anicet Mbida Du lundi au vendredi à 5h51 et 7h26

Les services pourraient bientôt nous demander de changer nos mots de passe pour de nouveaux, beaucoup plus longs, d’au moins 16 caractères. Pour contourner cette difficulté, d'autres solutions commencent à émerger.

Anicet Mbida

Radio France

Publié le 08/05/2024 11:40

Temps de lecture : 2min

Les meilleures puces peuvent deviner un mot de passe dit "fort" en une heure s'il ne comporte que huit caractères. Photo d'illustration (JUST_SUPER / E+)

Un rapport des spécialistes en cybersécurité de Hive Systems met en garde contre les mots de passe utilisés actuellement. Aujourd’hui, la plupart des services imposent un mot de passe d’au moins huit caractères avec des majuscules, des minuscules, des chiffres et des caractères spéciaux. Mais la puissance de calcul des dernières puces est telle, qu’en essayant toutes les combinaisons possibles, il leur suffirait d’une heure pour deviner ce genre de mots de passe, même complexes. On ne parle même pas de supercalculateurs, mais de machines disponibles dans n’importe quelle boutique à moins de 3 000 euros. D’où leur recommandation de basculer vers des mots de passe plus longs, de 16 caractères au minimum, qui, eux, mettraient plusieurs milliards d’années à être déchiffrés.

Se débarrasser complètement des mots de passe ?

Les mots de passe sont devenus une véritable plaie. Il en faut un différent par service, il faut qu’ils soient longs, avec des caractères spéciaux difficiles à retenir, et il faut les changer régulièrement. C’est pourquoi certains cherchent actuellement à se débarrasser complètement du concept même de mot de passe. Des géants de la tech se sont mis d’accord sur un standard qui s’appelle "Passkey".

Son principe est tout simple : quand on doit se connecter, on donne simplement son nom d’utilisateur. Et au lieu de taper un mot de passe, on scanne le QR code qui s’affiche sur l'ordinateur avec son téléphone. Ensuite, on valide son identité sur son mobile, avec son empreinte digitale ou son visage, comme on le fait d’habitude pour le déverrouiller. Et si la connexion se fait directement sur le mobile, c’est encore plus rapide. Il va simplement demander de scanner son empreinte ou son visage. Ainsi, plus aucun mot de passe à retenir ou à taper. C’est le téléphone qui sert, en quelque sorte, de clé pour valider la connexion.

Le système fonctionne déjà actuellement. Rien que ces dernières semaines, le standard a été activé pour la connexion à Windows, Google, WhatsApp, X et la Playstation… Donc, n’hésitez pas à vous renseigner. Cela évitera les mots de passe à rallonge impossibles à retenir.