Publié le 25 août 2020 à 15h41

Une boîte de dés connectés peut-elle rendre vos mots de passe (presque) infaillibles ?

Temps de lecture : 4 min

Le chercheur Stuart Schechter veut faciliter la création d’ un mot de passe extrêmement complexe, mais facile à retrouver. Pour y parvenir, il combine 25 dés spéciaux à 6 faces, une boîte en plastique et une petite application.

Jeter des dés pour décider de votre mot de passe le plus important. Voici l’idée intrigante de Stuart Schechter, un chercheur de l’Université de Berkeley. Aujourd’hui, un des meilleurs moyens pour avoir des mots de passe robustes et uniques pour chaque service sans perdre en fluidité d’utilisation est de faire appel à un gestionnaire de mot de passe.

Avec un de ces logiciels, l’utilisateur n’a plus qu’un seul mot de passe, dit « maître », à retenir. Long et complexe, il permet d’accéder au coffre-fort des mots de passe générés, et donc à l’intégralité de vos services et applications. C’est ce mot de passe que Stuart Schechter veut aider à créer et à retenir.

Une fois la boîte ainsi figée, l’utilisateur n’a plus qu’à utiliser une app pour obtenir son mot de passe unique. // Source : DiceKeys

Un mot de passe immensément complexe, mais facile à retrouver

Il a donc lancé, en « version alpha », une boîte de 25 dés baptisée DiceKeys, repérée par Wired. Sur chacune des 6 faces de ces dés sont inscrits une lettre et un chiffre différents. Pour déterminer un mot de passe robuste, Stuart jette les dés dans une boîte en plastique, les positionne à plat, puis referme la boîte : il verrouille ainsi les dés dans un carré de 5 par 5.

Ensuite, il utilise l’app dédiée sur son smartphone pour lire les codes inscrits sur chaque face de ces dés. Le logiciel prend en compte les symboles des dés, mais aussi leur position dans le carré et leur orientation, afin de générer un mot de passe maître unique.

Un mot de passe impossible à deviner pour la plus puissante des machines

Avec ce système, Stuart Schechter avance qu’il existe plus de 2^196 combinaisons possibles à chaque lancer. Un nombre si gigantesque que le scientifique le compare à plusieurs milliers de fois le nombre d’atomes dans le système solaire. Plus concrètement, cela signifie qu’en l’état actuel de l’informatique, même le plus puissant des ordinateurs ne pourrait identifier toutes les combinaisons possibles existantes en un temps raisonnable. Autrement dit, le mot de passe sera mathématiquement impossible à deviner, d’autant plus qu’il ne suivra aucune construction logique.

Ce n’est pas le seul avantage du système. Puisque le mot de passe est figé dans la boîte en plastique, l’utilisateur peut le scanner à chaque fois qu’il en a besoin. La structure en plastique, relativement durable dans le temps, se substitue ainsi à l’écriture du mot de passe maître dans un carnet. Il est en effet conseillé de garder ce genre d’identifiant central dans un lieu sécurisé, hors ligne. Mais cette pratique idéale se confronte aux frictions de la réalité. Par exemple, l’utilisateur peut facilement oublier dans quel carnet ou sur quel post-it est écrit l’identifiant, ou encore il peut mal protéger le support, qui se dégraderait avec le temps. La structure de DiceKeys a pour objectif d’éviter ce genre de scénario catastrophe. Mieux, d’après Wired, le chercheur envisage un modèle en acier capable de résister aux incendies.

25 dollars le mot de passe

Pour autant, DiceKeys n’est pas parfait : une boîte coûte pour l’instant 25 dollars en précommande et n’est utilisable en pratique qu’une seule fois, pour un seul mot de passe.

Ensuite, la transcription de la boîte en mot de passe s’appuie sur une application, pour l’instant hébergée en ligne sur dicekeys.app. Même si le chercheur affirme qu’aucune donnée ne quitte l’appareil de l’utilisateur, ce passage en ligne expose à certaines attaques, notamment contre les serveurs de l’entreprise. En revanche, l’app ne conserve aucune donnée : ni le mot de passe ni la clé qui sert à scanner le dé. Les pirates intéressés par ces données devraient donc s’en prendre aux communications puisqu’il ne devrait pas y avoir de base de données.

Première livraison en janvier 2021

D’ici la livraison des précommandes en janvier 2021, Stuart Schechter espère acheter des versions iOS et Android de l’app, qui traiteraient tout en local. Dans tous les cas, l’app sera open source, de sorte que n’importe qui pourra vérifier son code, et donc ses mécanismes de fonctionnement. Le scientifique espère qu’une communauté pourra se créer autour du système, et contribuer à son développement.

Le public cible de DiceKeys est pour l’instant restreint à un petit nombre d’utilisateurs les plus éduqués aux questions de sécurité. Mais le chercheur a l’ambition d’en faire un outil destiné à populariser l’usage de gestionnaire de mots de passe. Un petit pas de plus pour la sécurité globale des utilisateurs d’Internet.

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !

Crédit photo de la une : DiceKeys

Signaler une erreur dans le texte

Partager l'article

Sur le même thème

Rejoignez la révolution voiture électrique avec la newsletter Watt Else par Numerama !

Pixel 7 Pro // Source : Louise Audry pour Numerama

Google Authenticator corrige son plus grand défaut

La solution de cybersécurité Bitdefender Premium Security Plus profite de 50 % de remise durant le Black Friday

Voici comment Bitdefender vous aide à réaliser des achats en toute sécurité pour le Black Friday

sponso

Pourquoi les ministres vont devoir renoncer à WhatsApp, Signal et Telegram

Signal accuse la France de dire n’importe quoi sur sa messagerie sécurisée

Authy tue son appli de bureau pour la double authentification

Les derniers articles cyberguerre

Des données étaient laissées sans protection sur le site de Bouygues Telecom. // Source : Pixabay / typographyimages

tech smartphone apple iphone

Voici le message que vous recevrez si votre iPhone est infecté par un logiciel espion

12.04.2024 10:17

La VAR n'a rien trouvé de grave

Le Parc des Princes, le stade du PSG. // Source : Numerama

La billetterie du PSG a été piratée

09.04.2024 17:45

Le message des hackers turcs laissé sur le site du CERC // Source : Capture d'écran Numerama

cyberguerre cybercriminalité

Qui sont les hackers turcs responsables du piratage d’un site gouvernemental français ?

08.04.2024 17:34

Les hackers vont fouiller dans l'organisation de l'entreprise pour piéger de employés précis. // Source : Numerama avec Midjourney

cyberguerre cybercriminalité

Qui est la cible favorite des hackers parmi vos collègues

07.04.2024 12:59

Des hackers pro-russes ont ciblé les ministères. // Source : Numerama avec Midjourney

cyberguerre hygiène numérique phishing

Les hackers du Kremlin envoient une fausse invitation à diner à la sphère politique allemande

05.04.2024 19:20

Google Chrome est victime de nombreux vol de cookie d'authentification. // Source : deepanker70

cyberguerre hygiène numérique

Google veut mettre fin au vol de cookie sur Chrome avec une nouvelle fonctionnalité

03.04.2024 13:32

tech smartphone applications

Keeper déploie enfin le nécessaire pour en finir avec les mots de passe sur smartphone

03.04.2024 08:33

tech informatique logiciels

« Construire un datacenter vertueux, ça ne coûte pas plus cher » : comment Infomaniak fait mieux que les géants du web

30.03.2024 08:01

Priorité aux données de santé

numerama_minimalist_illustration_of_a_cyber_attack._In_a_hosp_25550453-ab1b-470e-a56c-8b17b34ed662_2

« Ils m’ont dit que je prenais du matériel pour particulier qui ne tiendrait jamais le coup » : comment les hôpitaux s’arment contre les cyberattaques

29.03.2024 14:36

sponso

Les fuites de données risquent d'être exploitées par les cybercriminels pour les Jeux Olympiques. // Source : Numerama avec Midjourney

cyberguerre hygiène numérique données personnelles

Comment les récentes fuites de données pourraient être réutilisées pour les J0 2024

28.03.2024 15:41