Alors que de nombreux sites se contentent de mots de passe simplistes, ce qui peut toujours surprendre, d’autres imposent des règles un peu plus protectrices face à la naïveté de leurs abonnés.
Cela peut toujours surprendre, mais les sites auxquels vous vous abonnez ne sont pas toujours protecteurs pour votre compte. C’est à dire, quelque part, pour eux même.

En bas de l’échelle, nous avons certains sites qui vous imposent un mot de passe numérique de 4 chiffres maximum (parfois un peu plus). Ce qui, en terme de protection est quasi nul. SG, ma banque professionnelle est de ceux là. Tiens, parlons de banque… Pour mon compte perso au CDN (pourtant une filiale de la précédente) la politique est toute autre : le mot de passe doit être une chaine de caractères, et obligatoirement changé à intervalle régulier – sans pouvoir être réutilisé. Là où chez SG j’ai toujours le même depuis plusieurs années… certes, ils avanceront qu’ils ont un autre mécanisme de protection, le clavier virtuel (comme à la banque de mon épouse, BNP). Je ne connais pas les mécanismes des autres banques, je m’égare… (Voir aussi l’article Clavier virtuel et accessibilité bancaire)

On voit apparaître de plus en plus de sites qui vérifient que le mot de passe que vous entrez est fort, c’est à dire composé de chiffres et lettres mélangés. Certain vont même jusqu’à bannir certains mots des choix possibles.
C’est ainsi que Twitter a fait l’actualité dernièrement en publiant sa liste des mots interdits, laquelle a été reprise par techcrunch.com. Et parmi les mots bannis, nous pouvons trouver quelques séquences de caractères classiques (123456, aaaaaa, abc123…), quelques prénoms (charles, jasper, martin, richard… mais beaucoup manquent, comme virginie), des noms de villes, des noms de marques, surtout de voitures (cocacola, corvette, toyota…) et quelques trucs plus curieux (booboo ou vagina).

Si la logique d’obliger ses utilisateurs à choisir un mot de passe en dehors d’une liste de mots interdits est bonne, je m’interroge plus sur celle de publier la dite liste (ce qui simplifie le travail des hackers et leur fait gagner un peu de temps). Et je m’interroge également sur la longueur de cette liste ; de son absence de longueur en l’occurrence. Y intégrer l’ensemble du dictionnaire de la langue anglaise serait plutôt intéressant (voir de chaque langue de chaque déclinaisons du site). Pas parfait, mais on va dire en progrès…

Parallèlement à cela, de nombreux sites stockent les mots de passe dans leurs bases de données, et beaucoup les y stockent en clair. S’ils sont eux même non sécurisé, c’est ainsi tous les identifiants et mots de passe qui peuvent se retrouver dans la nature. Mésaventure arrivée au site RockYou il y a peu, où 32 millions de mots de passe de ses membres ont été piratés, et diffusés sur la Toile. Mais, comme disait l’auteur, ceci est une autre histoire, et nous y reviendrons…