Les mots de passe sont de vrais casse-tête pour de nombreux salariés qui les considèrent plus comme des « empêcheurs » de travailler tranquillement. Mais hélas, ils restent majoritairement utilisés pour accéder à des comptes.
D’où l’empressement des attaquants de tout poil à mettre la main sur ces fameux mots de passe. Et leur travail n’est pas toujours très compliqué étant donné la banalité de certains mots de passe légendaire.
Dans son audit annuel sur la capacité des pirates à déchiffrer les mots de passe par force brute, Hive Systems a constaté que tout mot de passe de moins de sept caractères peut être déchiffré en quelques heures.
Plus difficiles
En raison de l’utilisation généralisée d’algorithmes de hachage de mots de passe plus puissants pour protéger les données, le temps nécessaire aux acteurs malveillants pour déchiffrer les mots de passe a augmenté. Il ne faut pas pour autant s’en réjouir.
« En regardant les données et l’augmentation du temps nécessaire aux pirates pour déchiffrer les mots de passe, on pourrait facilement penser que le secteur de la cybersécurité a fait de grands progrès dans la protection de nos données », a déclaré Alex Nette, PDG et cofondateur de Hive Systems.
MFA et gestionnaires de mots de passe
« Malheureusement, chaque fois que nous rendons la tâche plus difficile aux pirates, ils trouvent de nouveaux moyens de contourner les protections les plus solides. L’augmentation des temps de calcul indiquée dans notre tableau des mots de passe de 2024 est prometteuse, mais il est probable que ces temps diminuent à nouveau dans un avenir proche à mesure que la puissance de calcul augmente. »L’année dernière, les recherches de Hive avaient démontré que certains mots de passe de 11 caractères pouvaient être déchiffrés instantanément par force brute. Les résultats de cette année ont révélé l’efficacité des nouveaux algorithmes de hachage de mots de passe standard de l’industrie — comme bcrypt — pour le cryptage des mots de passe dans les bases de données.
Aujourd’hui, il faut 10 heures pour déchiffrer un mot de passe de 11 caractères. Toutefois, si le renforcement des algorithmes a rendu le décryptage des mots de passe plus difficile, il est peu probable qu’il en reste ainsi.
« L’avantage de bcrypt, c’est qu’à mesure que les ordinateurs deviennent plus rapides, il suffit d’augmenter le facteur de travail pour déchiffrer les mots de passe », a déclaré Corey Neskey.
Mais le vice-président du risque quantitatif chez Hive Systems précise qu’à un certain moment, l’algorithme devient frustrant et inutilisable pour les applications web et les sites web, et il faut donc faire des compromis, ce qui crée des opportunités pour les pirates.
Chaque année, de plus en plus de données personnelles sont collectées et stockées dans des endroits susceptibles d’être infiltrés par des pirates. Les solutions les plus efficaces pour la protection des données restent l’utilisation de l’authentification multifactorielle et d’un gestionnaire de mots de passe avec des phrases de passe aléatoires et complexes.
L’authentification multifactorielle garantit en effet que toute connexion est approuvée par le propriétaire du compte. Avec l’avènement d’outils d’intelligence artificielle accessibles au public, une deuxième étape qui requiert l’action personnelle d’un utilisateur pour confirmer son identité est le meilleur moyen d’assurer la sécurité des informations du compte.
L’utilisation d’un gestionnaire de mots de passe pour la création et le stockage des mots de passe augmente également de manière significative la sécurité des mots de passe. Cependant, ces mots de passe continueront à devenir de moins en moins sûrs.
