password

Mauricio Estrella a partagé un article particulièrement intéressant et plein d’émotion qui a beaucoup fait parler de lui sur les réseaux sociaux courant mai.

Initialement intitulé « How a password changed my life« , cet article est voué à faire évoluer les mœurs actuels en ce qui concerne les contraintes connues de tous concernant les politiques de mots de passe :

  • Utiliser un minimum de 8 caractères
  • Utiliser des lettres minuscules
  • Utiliser des lettres majuscules
  • Utiliser des chiffres
  • Utiliser des symboles
  • Ne pas réutiliser un de vos anciens mots de passe
  • Changer votre mot de passe tous les 3 mois
  • Etc.

En 2011, Mauricio était d’humeur légèrement dépressive pour des raisons personnelles, et en arrivant à son travail le matin, il rencontra ce message souvent redouté :

Your password has expired.
Click ‘Change password’ to change your password.

Contraint de se plier à des règles draconiennes, Mauricio n’était pas d’humeur pour cette étape qu’il considère comme une perte de temps :

I was furious that morning. Tuesday, 9:40 a.m. -It was so hot that my torso was already sweaty even though I just got to work. I was late. I was still wearing my helmet. I think I forgot breakfast. Something tastes like cigarette in my mouth. I need to get shit done before my 10 a.m. meeting and all I have in front of me is a huge waste of my time.

C’est de là qu’une illumination lui parvint :

« I’m gonna use a password to change my life ».

Devant entrer ce mot de passe plusieurs fois par jour pendant les 3 prochains mois, il décida d’exploiter cette « corvée » pour améliorer son quotidien.

Son premier mot de passe devint « Forgive@h3r », afin de l’aider à oublier la raison de sa récente dépression.

Trois mois plus tard, il s’engagea à arrêter de fumer, son password devint donc « Quit@smoking4ever ».

Il enchaîna de nombreux mots de passe durant les deux années qui suivirent, tous pour l’aider à améliorer son quotidien :

Here is an extract of what some of my passwords have been in the last 2 years, so you get an idea of how my life has changed, thanks to this method:

  • Forgive@her ← to my ex-wife, who started it all.
  • Quit@smoking4ever ← it worked.
  • Save4trip@thailand ← it worked.
  • Eat2times@day ← it never worked, still fat.
  • Sleep@before12 ← it worked.
  • Ask@her4date ← it worked. I fell in love again.
  • No@drinking2months ← it worked. It felt great!
  • MovE@togeth3r ← it worked.
  • Get@c4t! ← it worked. We have a beautiful cat.
  • Facetime2mom@sunday ← it worked. I talk with my mom every week.

And the one for last month:

  • Save4@ring ← Yep. Life is gonna change again, soon.

A la lecture du dernier utilisé, sachez que l’histoire s’est bien fini puisqu’elle lui dit « oui ».

Ce qu’il faut retenir de ce billet est que la conception et le changement de mot de passe régulier peut être perçu comme un avantage aussi bien pour l’entreprise que pour ses employés. Inventer des mots de passe qui vous rappellent un objectif à atteindre améliore votre quotidien, vous fixe des objectifs personnels tout en atténuant l’aspect « corvée ».

Beaucoup ont repris cet article et les méthodologies de définition de mot de passe « facile à retenir » tout en étant « suffisamment sécurisés » ont fleuri (How to burn a password into your brain). L’illustration humoristique suivante d’xkcd illustre ces nouvelles méthodes :

password_strength

D’autres adoptent des solutions d’un mot de passe unique pour les gouverner tous, en se forçant à ne pas retenir les mots de passe qu’ils indiquent sur les innombrables services de l’Internet, mais en gardant uniquement celui de leur coffre-fort à password (Let’s boycott passwords). Nous vous présentions il y peu une étude réalisée concernant les « Web password managers« .

Adopter un mot de passe unique fort, oublier et déléguer à son coffre-fort les autres, choisir des passwords significatifs pour améliorer son quotidien : toutes ces techniques sont respectables et conseillées. Gardez toutefois à l’esprit que le SSO et les solutions reconnues actuelles permettent d’améliorer l’expérience utilisateur liée aux phases d’authentification, tout comme votre sécurité et celle de l’entreprise dans sa globalité.

Sources & ressources :

Yann

Consultant Sécurité