Le chercheur Stuart Schechter veut faciliter la création d’ un mot de passe extrêmement complexe, mais facile à retrouver. Pour y parvenir, il combine 25 dés spéciaux à 6 faces, une boîte en plastique et une petite application.

Jeter des dés pour décider de votre mot de passe le plus important. Voici l’idée intrigante de Stuart Schechter, un chercheur de l’Université de Berkeley. Aujourd’hui, un des meilleurs moyens pour avoir des mots de passe robustes et uniques pour chaque service sans perdre en fluidité d’utilisation est de faire appel à un gestionnaire de mot de passe.

Avec un de ces logiciels, l’utilisateur n’a plus qu’un seul mot de passe, dit « maître », à retenir. Long et complexe, il permet d’accéder au coffre-fort des mots de passe générés, et donc à l’intégralité de vos services et applications. C’est ce mot de passe que Stuart Schechter veut aider à créer et à retenir.

Une fois la boîte ainsi figée, l’utilisateur n’a plus qu’à utiliser une app pour obtenir son mot de passe unique. // Source : DiceKeys

Un mot de passe immensément complexe, mais facile à retrouver

Il a donc lancé, en « version alpha », une boîte de 25 dés baptisée DiceKeys, repérée par Wired. Sur chacune des 6 faces de ces dés sont inscrits une lettre et un chiffre différents. Pour déterminer un mot de passe robuste, Stuart jette les dés dans une boîte en plastique, les positionne à plat, puis referme la boîte : il verrouille ainsi les dés dans un carré de 5 par 5.

Ensuite, il utilise l’app dédiée sur son smartphone pour lire les codes inscrits sur chaque face de ces dés. Le logiciel prend en compte les symboles des dés, mais aussi leur position dans le carré et leur orientation, afin de générer un mot de passe maître unique.

Un mot de passe impossible à deviner pour la plus puissante des machines

Avec ce système, Stuart Schechter avance qu’il existe plus de 2^196 combinaisons possibles à chaque lancer. Un nombre si gigantesque que le scientifique le compare à plusieurs milliers de fois le nombre d’atomes dans le système solaire. Plus concrètement, cela signifie qu’en l’état actuel de l’informatique, même le plus puissant des ordinateurs ne pourrait identifier toutes les combinaisons possibles existantes en un temps raisonnable. Autrement dit, le mot de passe sera mathématiquement impossible à deviner, d’autant plus qu’il ne suivra aucune construction logique.

Ce n’est pas le seul avantage du système. Puisque le mot de passe est figé dans la boîte en plastique, l’utilisateur peut le scanner à chaque fois qu’il en a besoin. La structure en plastique, relativement durable dans le temps, se substitue ainsi à l’écriture du mot de passe maître dans un carnet. Il est en effet conseillé de garder ce genre d’identifiant central dans un lieu sécurisé, hors ligne.  Mais cette pratique idéale se confronte aux frictions de la réalité. Par exemple, l’utilisateur peut facilement oublier dans quel carnet ou sur quel post-it est écrit l’identifiant, ou encore il peut mal protéger le support, qui se dégraderait avec le temps. La structure de DiceKeys a pour objectif d’éviter ce genre de scénario catastrophe. Mieux, d’après Wired, le chercheur envisage un modèle en acier capable de résister aux incendies.

25 dollars le mot de passe

Pour autant, DiceKeys n’est pas parfait : une boîte coûte pour l’instant 25 dollars en précommande et n’est utilisable en pratique qu’une seule fois, pour un seul mot de passe.

Ensuite, la transcription de la boîte en mot de passe s’appuie sur une application, pour l’instant hébergée en ligne sur dicekeys.app. Même si le chercheur affirme qu’aucune donnée ne quitte l’appareil de l’utilisateur, ce passage en ligne expose à certaines attaques, notamment contre les serveurs de l’entreprise. En revanche, l’app ne conserve aucune donnée : ni le mot de passe ni la clé qui sert à scanner le dé. Les pirates intéressés par ces données devraient donc s’en prendre aux communications puisqu’il ne devrait pas y avoir de base de données.

Première livraison en janvier 2021

D’ici la livraison des précommandes en janvier 2021, Stuart Schechter espère acheter des versions iOS et Android de l’app, qui traiteraient tout en local. Dans tous les cas, l’app sera open source, de sorte que n’importe qui pourra vérifier son code, et donc ses mécanismes de fonctionnement. Le scientifique espère qu’une communauté pourra se créer autour du système, et contribuer à son développement.

Le public cible de DiceKeys est pour l’instant restreint à un petit nombre d’utilisateurs les plus éduqués aux questions de sécurité. Mais le chercheur a l’ambition d’en faire un outil destiné à populariser l’usage de gestionnaire de mots de passe. Un petit pas de plus pour la sécurité globale des utilisateurs d’Internet.

Crédit photo de la une : DiceKeys

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux