Chaque année, les entreprises de sécurité informatique partagent leurs conclusions concernant les mots de passe et les violations de données. Encore et encore, ils avertissent les utilisateurs d'ordinateurs d'utiliser des mots de passe complexes et de ne pas utiliser les mêmes mots de passe pour des comptes différents. Et, encore, les violations de données et d'autres sources montrent que trop de personnes utilisent les mêmes mots de passe simples à plusieurs reprises et que certains de ces mots de passe sont ridiculement simples, le mot « mot de passe » ou le nombre « 123456 » n'est vraiment pas un mot de passe du tout étant donné même le logiciel de piratage et de craquage le moins sophistiqué disponible pour les tiers malveillants de nos jours.

L'inertie est un problème important :il est difficile d'obtenir des utilisateurs, mis dans leurs voies, pour changer leur vieux, mots de passe facilement mémorisables à complexes, difficile de se souvenir des codes. Il est encore plus difficile d'amener ces utilisateurs à utiliser des gestionnaires de mots de passe ou une authentification multifacteur, ce qui ajouterait une autre couche de sécurité à leurs connexions.

Maintenant, écrit dans le Journal international de l'information et de la sécurité informatique, Jaryn Shen et Qingkai Zeng du State Key Laboratory for Novel Software Technology, et Département d'informatique et de technologie, à l'Université de Nankin, Chine, ont proposé un nouveau paradigme pour la protection par mot de passe. Leur approche traite les attaques en ligne et hors ligne contre les mots de passe sans augmenter l'effort requis d'un utilisateur pour choisir et mémoriser ses mots de passe.

« Les mots de passe sont la première barrière de sécurité pour les services Web en ligne. Tant que les attaquants volent et déchiffrent les mots de passe des utilisateurs, ils obtiennent et contrôlent les informations personnelles des utilisateurs. Ce n'est pas seulement une atteinte à la vie privée. Cela peut également entraîner des conséquences plus graves telles que des dommages aux données, pertes économiques et activités criminelles, " écrit l'équipe.

Leur approche consiste à avoir un système de connexion basé sur deux serveurs au lieu d'un. L'utilisateur a un court, mot de passe mémorable pour accéder à leur plus long, mots de passe "hachés" générés par ordinateur sur un autre serveur, la clé pour "déshacher" ces mots de passe plus longs est stockée sur le deuxième serveur, mais le mot de passe réel est également stocké sur l'appareil de l'utilisateur et le mot de passe mémorable agit donc comme un jeton pour l'authentification à deux facteurs. L'approche signifie que les attaquants dotés des outils de piratage les plus sophistiqués ne peuvent pas appliquer efficacement un dictionnaire hors ligne et des attaques par force brute.