Certains services, dans les intranets notamment, demandent de changer régulièrement de mots de passe. Cette mesure de sécurité est bonne à première vue : un malfaiteur qui a subtilisé des mots de passe aura le bec dans l'eau si ceux-ci ont été changés avant qu'il ne s'en serve.
Sauf que les modifications apportées par les utilisateurs ne sont pas toujours suffisantes face à un malandrin déterminé. En 2010, des chercheurs de l'Université de Caroline du Nord ont démontré qu'ils étaient capables de trouver une partie des nouveaux mots de passe à partir des anciens.
Ils ont en fait identifié plusieurs évolutions : « sésameouvretoi1 » devient souvent « sÉsameouvretoi1 » après le premier changement, puis « séSamouvretoi1 » après le deuxième, etc. Une autre modification commune concerne les chiffres présents, comme « sésameouvretoi11 », puis « sésameouvretoi111 » ou « sésameouvretoi2 », puis « sésameouvretoi3 », et ainsi de suite.
L'algorithme développé pour cette étude, qui s'est appuyée sur une base de données de 10 000 mots de passe successifs, a été capable de trouver 17 % des nouveaux mots de passe en moins de cinq essais. À l'aide d'ordinateurs ultras rapides, 41 % des sésames ont été crackés en moins de trois secondes.
En conclusion, changer ses mots de passe, c'est bien, mais encore faut-il le faire de façon significative. C'est dans ce contexte que des services ou applications spécialisées, comme le trousseau iCloud ou 1Password, se montrent particulièrement utiles.
Source : Ars Technica
