Comment mémoriser des mots de passe longs et complexes

On est en 2014 et récemment, Lockheed Martin a annoncé un réel progrès dans le développement d’un réacteur à fusion nucléaire compact, capable de fournir de l’énergie en très grande quantité en utilisant seulement quelques kilogrammes de combustible par an. Et pendant ce temps, on en est encore à essayer de mémoriser des listes de mots de passe de plus en plus longues comme si on était en 1999. Si on doit se baser sur les anciennes techniques d’authentification pour les technologies du futur, alors on devrait aussi trouver un moyen efficace de mémoriser nos mots de passe, et c’est exactement ce qu’ont fait nos collègues du département d’informatique de l’université de Carnegie Mellon.

Malheureusement, il se trouve que mémoriser de longues listes de mots de passe complexes requiert quelque chose que personne n’aime faire : étudier. Selon une étude menée par Jeremiah Blocki, Saranga Komanduri, Lorrie Cranor et Anupam Datta, un système de répétitions espacées allié à des moyens mnémotechniques aideraient les utilisateurs à mémoriser leurs mots de passe pendant plus longtemps.

Les éléments de construction de ces mots de passe nous rappellent la bande dessinée XKCD sur la complexité des mots de passe, qui préconise qu’on mémorise des phrases plutôt que des mots en leetspeak :

On a demandé aux personnes ayant participé à l’étude de Carnegie Mellon de choisir une personne dans un menu déroulant et de l’associer au hasard à une action mécanique et à un objet. Cette méthode est connue comme le système personne-action-objet (PAO). Ça donne quelque chose comme : « Maître Yoda jette un micro ».

En plus de ce moyen mnémotechnique, on a aussi montré aux participants la photo d’un lieu où se dérouleraient l’enchaînement personne-action-objet qu’ils avaient choisi. Admettons que la photo associée à l’histoire soit celle d’un laboratoire sous-marin, cela donnerait : « Maître Yoda jette un micro dans un laboratoire sous-marin ».

Vous avez donc six mots et à partir de cela vous pouvez constituer un mot de passe assez complexe. Et vous pouvez même évaluer son degré de complexité grâce à notre outil de vérification des mots de passe. Le but d’un moyen mnémotechnique c’est de ne pas avoir besoin de vous souvenir de l’intégralité de la phrase.

Lors de cette étude, on a proposé aux participants d’associer des scènes et des personnages (Maître Yoda dans un laboratoire sous-marin) et on leur a demandé de suivre une routine afin de mémoriser l’action et l’objet à plusieurs reprises et à des intervalles de temps réguliers pendant une centaine de jours environ. Les intervalles choisis pour ce rituel de répétition ainsi que le nombre de mots de passe (un, deux ou quatre) que les participants doivent mémoriser, varient d’un groupe à l’autre.

Les participants ayant obtenu les meilleurs résultats sont ceux qui ont commencé les répétitions après 12h puis ensuite à des intervalles de 12×1.5 heures (0.5 jour, 1.75 jours, 4.15 jours, 8.15 jours, 14.65 jours, 24.65 jours, 40.65 jours, 64.65 jours et 101.65 jours). Dans ce groupe, 77.1% des participants se sont souvenu avec brio des quatre histoires, lors de 9 tests, sur une période de 102 jours.

J’ai contacté Blocki et lui ai demandé s’il avait été surpris des résultats.

« Vous imaginez bien que j’étais un peu surpris » a-t-il déclaré. « Si avant l’étude on m’avais demandé de deviner qui allait obtenir les meilleurs résultats, j’aurais probablement parié sur le 30minX2, mais sans grande certitude. Oui, le groupe de 12hx1.5 commence par un intervalle de répétition plus importante. Cependant, les intervalles entre les répétitions successives n’ont pas augmenté aussi vite que pour le groupe des 30minX2. Les résultats indiquent que le temps entre chaque répétition est important (et pas seulement le nombre total de répétitions précédentes). »

D’ailleurs, la plupart des oublis ont eu lieu au cours des 12 premières heures. Environ 94.9% des participants qui se souviennent des histoires dès les premiers tours s’en souviennent toujours lors des tours suivants. Comme on pouvait s’y attendre, les participants auxquels on avait demandé de retenir une ou deux histoires on mieux mémorisé que ceux qui devaient retenir quatre histoires.

Mémoriser une longue liste de #mots de passe requiert quelque chose que personne n’aime faire : étudier.

Tweet

Il y a beaucoup à apprendre de cette étude intitulée « Répétitions espacées et moyens mnémotechniques pour vous souvenir de plusieurs mots de passe complexes » [PDF]. Libre à vous de vous faire votre propre opinion mais il y a beaucoup d’énigmes mathématiques là-dedans.

Donc qu’avez-vous appris aujourd’hui ? D’abord nous avons appris qu’il était plus facile de se souvenir d’une petite quantité de mots de passe. Et c’est probablement pour cela que presque tout le monde utilise le même mot de passe pour différents comptes, même s’ils savent que c’est une mauvaise idée.
En d’autres termes, les mots de passe sont malheureusement loin d’être parfaits.

Creating story #passwords that you can associate with a picture makes them stronger. If you could make up a sample password with the picture below, what would it be? #security

A photo posted by Kaspersky Lab (@kasperskylab) on Oct 21, 2014 at 11:30am PDT

Mais il y a aussi quelques bonnes nouvelles : vous pouvez améliorer vos mots de passe en faisant appel à des moyens mnémotechniques faciles :
– Créer une histoire avec le mot de passe que vous puissiez associer ensuite à une image.
– Je sais, ce n’est pas si simple mais éviter d’utiliser le même mot de passe plusieurs fois.
– Révisez vos mots de passe le plus tôt et le plus souvent possible, et ce pour le reste de votre vie. Ou au moins jusqu’à ce qu’on vous pirate et que vous deviez recommencer.
Et que la force soit avec vous.