Microsoft engage la lutte contre les mots de passe trop faibles

Par:
fredericmazue

mer, 01/06/2016 - 16:36

Les mots de passe trop simples, ou trop faibles dans le jargon des informaticiens, est un problème récurrent de la sécurité informatique. Malgré les conseils et mises en garde sans cesse répétés, les utilisateurs s'obstinent à utiliser des mots de passe secrets que tout le monde connaît, et, pour faire bonne mesure, utiliser des mots de passe identiques sur de nombreux sites différents.

A l'occasion de la publication sur le DarkNet des données de comptes utilisateur de LinkedIn, données contenant notamment de ces vrais faux mots de passe, Microsoft entreprend une action qu'elle décrit dans un billet. Une action que d'autres administrateurs de services devraient d'ailleurs imiter.

Bientôt, dans leurs comptes utilisateur Microsoft ou Azure (Outlook, OneDrive, Skype, MSN, Xbox Live, etc.) les utilisateurs ne pourront plus choisir 123456 comme mot de passe. Les mots de passe "renforcés", comme $123456$ seront refusés également. Les mots de passe futés comme Pa$$w0rd seront refusés eux aussi :-) Tout simplement parce que les robots des cybercriminels n'ont aucune difficulté à trouver -cracker - ces mots de passe en force brute, ou même par une simple attaque au dictionnaire. En dépit du fait que l'utilisateur croit toujours que son mot de passe est unique, et solide.

Microsoft posera donc des exigences de longueur du mot de passe, ainsi que la variété de ses caractères constitutifs, mais ira encore plus loin.

Microsoft refusera les mots de passe connus, c'est à dire des mots de passe volés et dont les signatures MD5, SHA-1, etc. sont disponibles sur des sites spécialisés. Microsoft en constituera une liste noire qui sera mise à jour dynamiquement.