L’authentification par mot de passe est une méthode d’authentification largement utilisée. Le plus souvent, les utilisateurs choisissent des mots de passe faciles à retenir, mais également faibles. De nombreux fournisseurs de services demandent aux utilisateurs de créer des mots de passe forts avec des exigences telles que le mot de passe doit avoir un nombre minimum de caractères, doit inclure des lettres majuscules ou des chiffres, ou il doit inclure un caractère spécial. Ces mots de passe créés selon les exigences des fournisseurs de services peuvent être difficiles pour l’utilisateur à se souvenir et peuvent le conduire à devoir l’écrire.
La stratégie de mot de passe mnémotechnique aide les utilisateurs à créer des mots de passe forts et utilisables. La stratégie de mot de passe mnémonique la plus populaire, les phrases mnémoniques, est basée sur une phrase aléatoire mémorable à laquelle nous abrégeons les mots de la phrase et concaténons les initiales des mots pour former un mot de passe.
Dans cette étude, Bei Ye et ses collègues ont mené une enquête en ligne pour évaluer quatre types de création de mots de passe mnémoniques et les ont comparés avec deux groupes contrôles. Ils ont évalué la sécurité des mots de passe sous deux attaques : une où l’attaquant connaît les astuces de mot de passe utilisées par les utilisateurs (attaque connue), une où les astuces de mot de passe utilisées par les utilisateurs est inconnue de l’attaquant (attaque inconnue).
Les chercheurs ont recruté 209 participants qui ont dû choisir une des quatre méthodes de création de mots de passe proposées.
Ces quatre méthodes mnémoniques pour créer des mots de passe étaient :
- SenSub fait référence à la substitution de phrases. L’utilisateur choisit une phrase aléatoire et remplace chaque mot de la phrase par une lettre, un chiffre, un caractère spécial ou un mot et les combine pour former un mot de passe.
- KbCg fait référence au changement de clavier. L’utilisateur sélectionne un mot de passe de base qui peut être facilement mémorisé, puis l’utilisateur déplace une ou plusieurs touches du clavier comme mot de passe, en haut à gauche, en haut à droite, en bas à gauche et en bas à droite. Par exemple, si le mot de base est « matériel » et que nous choisissons de déplacer une clé en haut à gauche, le mot de passe sera « jq5348qo ».
- UsForm fait référence à l’utilisation d’une formule. L’utilisateur sélectionne une formule mathématique facile à retenir, puis sélectionne plusieurs nombres pour calculer le mot de passe. Par exemple, si nous choisissons 1 + 2 + 3 = 6, le mot de passe peut être « un + deux + 3 = 6 » ou « 1 + deux + trois = six »
- SpIns fait référence à l’insertion de caractères spéciaux. L’utilisateur sélectionne un mot de passe de base et insère des caractères spéciaux à n’importe quelle position du mot de passe de base pour former son mot de passe.
La recherche a ensuite divisé les 209 mots de passe en quatre groupes selon différentes méthodes de création de mots de passe. Les groupes de contrôle sont composés d’une sélection de 1000 mots de passe aléatoires provenant de certains sites Web et forums de jeux en ligne et qui ont fuité.
Les chercheurs ont ensuite comparé la force du mot de passe créée par les quatre groupes de test avec la force du mot de passe des deux groupes de contrôle.
Les résultats ont montré que :
- SenSub : les utilisateurs ont tendance à choisir une phrase célèbre et à ne conserver que la première lettre de chaque mot de la phrase d’origine. Les auteurs recommandent d’utiliser une phrase personnalisée et de varier la façon dont chaque mot est remplacé (choisissez la deuxième lettre du deuxième mot, la troisième lettre du troisième mot, etc.)
- KbCg : les utilisateurs ont tendance à choisir un mot commun comme mot de passe de base. Les auteurs ont constaté que la force des mots de passe est similaire à celle du mot de passe de base sélectionné. Ainsi, si vous choisissez un simple mot comme base, votre mot de passe avec cette astuce sera facilement piraté. Pour éviter cette situation, les utilisateurs doivent éviter d’utiliser un mot basique et sélectionner le positionnement de clavier le moins courant. Cependant, cela rendra plus difficile la mémorisation du mot de passe, ce conseil n’est pas le plus utilisable.
- UsForm : les utilisateurs ont tendance à conserver les numéros de la formule (sans la remplacer par des lettres). Les mots de passe créés grâce à cette astuce n’étaient pas résistants aux attaques.
- SpIns : les utilisateurs ont tendance à ajouter le caractère spécial au début, entre deux mots ou à la fin du mot de passe. La force du mot de passe créé grâce à cette astuce est faible.
Sur les quatre astuces de création mnémotechnique proposées dans cette étude, les auteurs recommandent fortement le Sensub, car les mots de passe créés via cette astuce étaient plus difficiles à pirater.