Quelles sont les raisons techniques d'avoir des longueurs de mot de passe maximales faibles?
Je me suis toujours demandé pourquoi tant de sites Web ont des restrictions très strictes sur la longueur des mots de passe (exactement 8 caractères, jusqu'à 8 caractères, etc.). Il s'agit généralement de banques ou d'autres sites où je me soucie réellement de leur sécurité.
Je comprends la plupart les gens choisiront des mots de passe courts comme "mot de passe" et "123456" mais y a-t-il des raisons techniques pour forcer cela? En utilisant une application comme 1Password, presque tous mes mots de passe ressemblent à fx9@#^L;UyC4@mE3<P]uzt ou d'autres chaînes longues générées aléatoirement et peu susceptibles de deviner les choses.
- Y a-t-il des raisons spécifiques pour lesquelles les sites Web appliquent des limites strictes sur la longueur des mots de passe (plus comme 8 ou 10, je comprends pourquoi 100000000 pourrait être un problème ...)?
Avec des restrictions supplémentaires (généralement, seuls les numéros sont acceptés), il peut également être motivé par le fait qu'il permet (ou peut permettre, si un jour le besoin s'en fait sentir) de saisir le mot de passe via une interface aux capacités limitées ...
C'est pourquoi de nombreuses banques ont mis en place de telles restrictions pour les mots de passe d'accès Web, pour autoriser l'accès via des systèmes hérités qui ne disposent que de claviers numériques (GAB, téléphones ...)
Tous les sites bancaires que je connais ont un système de type pin qui verrouille votre compte après 3 tentatives de mot de passe infructueuses. Cela signifie que les mots de passe longs seraient contre-productifs car ils sont plus faciles à taper ou à oublier, surtout parce que vous ne pouvez pas les voir (et si vous pouviez les voir, la sécurité serait encore pire).
Si vous prenez par exemple. un système de broches pour smartphones où vous tapez 4 chiffres, les chances de le deviner en 3 essais est de 0,03%. Avec 8 chiffres, les chances de le deviner correctement (si la séquence est générée aléatoirement et non choisie stupidement) deviennent si petites, que si vous essayez de deviner 7 milliards de mots de passe, vous ne devinerez en moyenne que 209 mots de passe. Si les caractères et/ou les caractères spéciaux sont autorisés, les chances de deviner deviennent encore plus petites, multipliées par un facteur de 1 ^ -4 ou 1 ^ -6 respectivement.
Même si les utilisateurs sont autorisés à choisir des mots de passe et les choisissent de manière semi-prédictive, dans les 3 essais, il est impossible de casser un compte particulier et votre moyenne ne s'améliorera pas trop, même si vous avez beaucoup de données, comme tous les anniversaires d'une famille et les noms de tous les membres de la famille et de tous les amis de la personne. Et il est également peu probable que vous ayez une liste fiable et complète de ce type pour une grande population.