Techdays #6 – Qu'est-ce qui fait un bon mot de passe ?, Arthur Pons [25 février 2019]

 Description

Tout le monde à une intuition décente de ce qu'est un bon ou un mauvais mot de passe mais peu savent pourquoi. Cette présentation propose d'expliquer les variables qui influent sur la qualité d'un mot de passe afin de développer un avis critique et informé sur ce qu'est un bon ou un mauvais mot de passe.

Qu'est-ce qui fait un bon mot de passe ?

Différents critères de qualité d'un mot de passe

• Mémorabilité
• Aisance d'utilisation
• Robustesse
• Longueur
• Taille d'alphabet
• Aléatoirité

Analyse de mots de passe à l'aide de ces critères. On soulève un dilemme, plus de robustesse implique presque toujours moins de mémorabilité et d'aisance d'utilisation. Étudions la construction des mots de passe pour tenter de résoudre ce dilemme.

On propose la démarche itérative suivante :

• 1. On propose un mot de passe
• 2. On évalue sa qualité au regard des critères précédants
• 3. On évalue la difficulté à le casser pour un attaquant en se mettant dans le pire des scénarios
• 4. On modifier les caractéristiques du mot de passe pour tenter de corriger les défauts

En 10 itérations nous aurons "résolu" le dilemme.

Elaboration et analyse des mots de passe

Choix d'un mot de passe très simple. Calcul de sa robustesse (un peu de mathématiques simples). Identification de ses faiblesses, capitalisation de ce que ça nous apprend sur le fonctionnement des mots de passe et élaboration d'un nouveau mot de passe. On recommence 10 fois, à chaque itération on apprend quelque chose de nouveau sur la sécurité des mots de passe.

Conclusion

Seul un accroissement considérable de la taille de l'alphabet permet d'obtenir une robustesse convenable sans sacrifier la mémorabilité et l'aisance d'utilisation. Pour satisfaire cet accroissement il faut avoir recours à des "symboles" que l'on connaît par coeur, les mots. D'où l'utilité des phrases de passe. Rapide présentation de la méthode Diceware répondant à toutes les problématiques soulevées lors de la présentation.

Bonus si temps disponible Et à l'Unistra ?

Quelle politique de mot de passe ENT ? Que peut-on en dire à la lumière des connaissances apprises dans cette présentation ?

Objectifs

L'objectif de la présentation est triple :

• Comprendre pourquoi un mot de passe est bon ou pas de façon à développer un regard critique sur l'élaboration de ses propre mots de passe et sur les contraintes qui nous sont imposées par les services informatiques que l'on utilise au quotidien.
• Prendre la mesure des risques liés aux mots de passe en ayant une intuition de la robustesse ou la faiblesse d'un mot de passe donné par rapport à la puissance de calcul disponible de nos jours.
• Rendre compte du fait que tout le monde aurait pu, en ayant les bonnes idées dans le bon ordre, inventer la méthode Diceware en l'élaborant nous même en 30 minutes.