Jeter des dés pour décider de votre mot de passe le plus important. Voici l’idée intrigante de Stuart Schechter, un chercheur de l’Université de Berkeley. Aujourd’hui, un des meilleurs moyens pour avoir des mots de passe robustes et uniques pour chaque service sans perdre en fluidité d’utilisation est de faire appel à un gestionnaire de mot de passe.
Avec un de ces logiciels, l’utilisateur n’a plus qu’un seul mot de passe, dit « maître », à retenir. Long et complexe, il permet d’accéder au coffre-fort des mots de passe générés, et donc à l’intégralité de vos services et applications. C’est ce mot de passe que Stuart Schechter veut aider à créer et à retenir.
Un mot de passe immensément complexe, mais facile à retrouver
Il a donc lancé, en « version alpha », une boîte de 25 dés baptisée DiceKeys, repérée par Wired. Sur chacune des 6 faces de ces dés sont inscrits une lettre et un chiffre différents. Pour déterminer un mot de passe robuste, Stuart jette les dés dans une boîte en plastique, les positionne à plat, puis referme la boîte : il verrouille ainsi les dés dans un carré de 5 par 5.
Ensuite, il utilise l’app dédiée sur son smartphone pour lire les codes inscrits sur chaque face de ces dés. Le logiciel prend en compte les symboles des dés, mais aussi leur position dans le carré et leur orientation, afin de générer un mot de passe maître unique.
Un mot de passe impossible à deviner pour la plus puissante des machines
Avec ce système, Stuart Schechter avance qu’il existe plus de 2^196 combinaisons possibles à chaque lancer. Un nombre si gigantesque que le scientifique le compare à plusieurs milliers de fois le nombre d’atomes dans le système solaire. Plus concrètement, cela signifie qu’en l’état actuel de l’informatique, même le plus puissant des ordinateurs ne pourrait identifier toutes les combinaisons possibles existantes en un temps raisonnable. Autrement dit, le mot de passe sera mathématiquement impossible à deviner, d’autant plus qu’il ne suivra aucune construction logique.
Ce n’est pas le seul avantage du système. Puisque le mot de passe est figé dans la boîte en plastique, l’utilisateur peut le scanner à chaque fois qu’il en a besoin. La structure en plastique, relativement durable dans le temps, se substitue ainsi à l’écriture du mot de passe maître dans un carnet. Il est en effet conseillé de garder ce genre d’identifiant central dans un lieu sécurisé, hors ligne. Mais cette pratique idéale se confronte aux frictions de la réalité. Par exemple, l’utilisateur peut facilement oublier dans quel carnet ou sur quel post-it est écrit l’identifiant, ou encore il peut mal protéger le support, qui se dégraderait avec le temps. La structure de DiceKeys a pour objectif d’éviter ce genre de scénario catastrophe. Mieux, d’après Wired, le chercheur envisage un modèle en acier capable de résister aux incendies.
25 dollars le mot de passe
Pour autant, DiceKeys n’est pas parfait : une boîte coûte pour l’instant 25 dollars en précommande et n’est utilisable en pratique qu’une seule fois, pour un seul mot de passe.
Ensuite, la transcription de la boîte en mot de passe s’appuie sur une application, pour l’instant hébergée en ligne sur dicekeys.app. Même si le chercheur affirme qu’aucune donnée ne quitte l’appareil de l’utilisateur, ce passage en ligne expose à certaines attaques, notamment contre les serveurs de l’entreprise. En revanche, l’app ne conserve aucune donnée : ni le mot de passe ni la clé qui sert à scanner le dé. Les pirates intéressés par ces données devraient donc s’en prendre aux communications puisqu’il ne devrait pas y avoir de base de données.
Première livraison en janvier 2021
D’ici la livraison des précommandes en janvier 2021, Stuart Schechter espère acheter des versions iOS et Android de l’app, qui traiteraient tout en local. Dans tous les cas, l’app sera open source, de sorte que n’importe qui pourra vérifier son code, et donc ses mécanismes de fonctionnement. Le scientifique espère qu’une communauté pourra se créer autour du système, et contribuer à son développement.
Le public cible de DiceKeys est pour l’instant restreint à un petit nombre d’utilisateurs les plus éduqués aux questions de sécurité. Mais le chercheur a l’ambition d’en faire un outil destiné à populariser l’usage de gestionnaire de mots de passe. Un petit pas de plus pour la sécurité globale des utilisateurs d’Internet.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.