Fatigue de mot de passe

La fatigue de mot de passe ou fatigue des mots de passe (en anglais, password fatigue) est le sentiment ressenti par de nombreuses personnes qui doivent se souvenir d'un nombre excessif de mots de passe dans le cadre de leur routine quotidienne : pour se connecter à un ordinateur au travail, déverrouiller un cadenas de vélo ou effectuer des opérations bancaires à partir d'un guichet automatique par exemple.

Causes

L'importance croissante des technologies de l'information et d'Internet dans la vaste majorité des aspects de la vie des personnes, ainsi que l'introduction des transactions sécurisées, ont conduit les gens à accumuler un grand nombre de comptes et de mots de passe.

On compte parmi les facteurs causant la fatigue de mot de passe :

• les demandes inattendues qu'un utilisateur génère un nouveau mot de passe;
• les demandes inattendues qu'un utilisateur génère un nouveau mot de passe utilisant une combinaison particulière de lettres, de chiffres et de caractères spéciaux;
• les demandes à l'utilisateur de saisir deux fois le nouveau mot de passe;
• les demandes fréquentes et inattendues qu'un utilisateur saisisse à nouveau son mot de passe lorsqu'il surfe sur différentes parties d'un intranet;
• la saisie aveugle, à la fois lors de la réponse à une demande de mot de passe et lors de la définition d'un nouveau mot de passe.

Problèmes liés

En plus de contribuer au stress, la fatigue de mot de passe peut encourager les gens à adopter des habitudes réduisant la sécurité de leurs informations protégées par un mot de passe. Par exemple, le titulaire d'un compte peut utiliser le même mot de passe pour plusieurs comptes différents, choisir délibérément des mots de passe faciles à mémoriser et trop vulnérables au cassage, ou encore s'appuyer sur des enregistrements écrits de leurs mots de passe.

De nombreux sites, dans le but d'empêcher les utilisateurs de choisir des mots de passe faciles à deviner, ajoutent des restrictions sur la longueur ou la composition des mots de passe, ce qui contribue au phénomène de fatigue de mot de passe. Ces restrictions se révèlent souvent contre-productives, puisque dans de nombreux cas, l'utilisateur finit par stocker celui-ci de manière non sécurisée (sur un post-it par exemple) pour ne pas l'oublier.

Solutions

Certaines entreprises mettent en œuvre des méthodes d'authentification alternatives - telles que des certificats électroniques, mots de passe à usage unique ou des indices de mot de passe - ou adoptent des technologies permettant de saisir automatiquement les informations d'authentification de leurs utilisateurs.

L'authentification unique

L'authentification unique (SSO) peut aider à atténuer ce problème en exigeant uniquement que les utilisateurs se souviennent d'un mot de passe pour une application qui à son tour donnera automatiquement accès à plusieurs autres comptes, avec ou sans le besoin d'un logiciel agent sur l'ordinateur de l'utilisateur. Un inconvénient potentiel est que la perte d'un seul mot de passe empêchera l'accès à tous les services utilisant le système SSO. En outre, le vol ou l'utilisation abusive d'un tel mot de passe offre de nombreuses possibilités à un attaquant.

Logiciel de gestion des mots de passe intégré

De nombreux systèmes d'exploitation fournissent un mécanisme pour stocker et récupérer les mots de passe, en utilisant le mot de passe de connexion de l'utilisateur pour déverrouiller une base de données de mots de passe chiffrés. Microsoft Windows fournit Credential Manager pour stocker les identifiants utilisés pour se connecter à des sites Web ou à d'autres ordinateurs sur un réseau, Mac OS X dispose d'une fonction de trousseau (keychain), et de nombreux navigateurs Web ont ajouté disposent de fonctionnalités similaires. Il est cependant à noter que si le système de l'utilisateur est corrompu, volé ou compromis, celui-ci peut également perdre l'accès aux sites pour lesquels il s'appuie sur un tel modèle de gestion de ses mots de passe.

Logiciels de gestion des mots de passe

Les logiciels de gestion des mots de passe tels que KeePass et Password Safe peuvent aider à atténuer le problème de la fatigue de mot de passe en stockant les mots de passe dans une base de données chiffrée avec un seul mot de passe dit "maître" (master password). Ce système présente des problèmes similaires à ceux de l'authentification unique (SSO) dans la mesure où la perte du mot de passe unique empêche l'accès à tous les autres mots de passe ; et qu'un attaquant volant le mot de passe maître pourra disposer de l'ensemble des mots de passe stockés dans le logiciel.

Récupération de mot de passe

La majorité des services Web protégés par mot de passe fournissent une fonction de récupération de mot de passe qui permettra aux utilisateurs de récupérer leur mot de passe, par exemple via l'envoi d'un message à l'adresse e-mail liée à ce compte. Cependant, ce système est lui-même devenu la cible d'attaques d'ingénierie sociale par des attaquants qui, obtenant suffisamment d'informations sur leur cible pour se faire passer pour eux et demander un e-mail de réinitialisation, peuvent ainsi garder durablement la main sur un compte piraté.

Notes et références

• (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Password fatigue » (voir la liste des auteurs).

Voir également

• BugMeNot
• Fatigue décisionnelle
• Gestion des identités et des accès
• Gestionnaire de mots de passe
• Robustesse d'un mot de passe

Liens externes

• Catone, Josh. Bad Form: 61% Use Same Password for Everything, 17 January 2008.
• identitychaos.com, MIIS & ILM blog

•   Portail de l’informatique
•   Portail de la sécurité informatique