- Bref résumé d’une partie du contenu présenté en 2018
- Sur Mastodon, quelqu’un s’est demandé si tous les mots de passe iOS générés par Apple (ex. : hupvEw-fodne1-qabjyg) semblaient être composés de deux « mots » à deux syllabes, et si cela avait été conçu intentionnellement
- Ce format en deux syllabes est bien un choix de conception intentionnel
- La présentation de 2018, « How iOS Encourages Healthy Password Practices », explique ce format de mot de passe généré
- La vidéo est un peu ancienne, mais elle peut aussi être intéressante car elle aborde d’autres sujets liés à la gestion des mots de passe
- À partir de 18 min 30 s, une explication du format de mot de passe robuste généré est donnée
- Il est composé principalement de minuscules afin d’être plus facile à saisir sur des dispositions de clavier peu optimisées, comme une manette de jeu
- Il s’appuie sur des syllabes pour être plus facile à mémoriser brièvement en petits blocs lors d’un transfert vers un autre appareil, c’est-à-dire selon un schéma consonne-voyelle-consonne
- Grâce à ces choix, il devient beaucoup plus simple à saisir sur des claviers atypiques
- Il a été décidé de ne modifier le format de mot de passe que s’il était plus robuste ou au moins équivalent au format existant
- En termes d’entropie de Shannon, le nouveau mot de passe offre 71 bits d’entropie (contre 69 bits pour l’ancien format)
- Un dictionnaire filtrant les termes offensants est intégré à l’appareil, et les mots de passe contenant de telles sous-chaînes sont ignorés
- Le nouveau mot de passe fait 20 caractères et se compose de majuscules, de minuscules (principalement), de deux tirets et d’un chiffre
- Cette longueur et cette combinaison de caractères ont été choisies pour rester compatibles avec les sites web existants
- Il ne s’agit pas de syllabes définies dans une langue réelle
- Un ensemble de caractères considéré comme comprenant 19 consonnes et 6 voyelles est utilisé, avec une sélection aléatoire
- Le chiffre est placé dans l’une de cinq positions possibles : de part et d’autre des tirets ou à la fin du mot de passe
9 commentaires
J’ai déjà eu du mal à saisir un mot de passe généré par 1Password sur le clavier de sécurité d’un établissement financier, donc c’est assez étonnant de voir qu’ils ont pensé jusque-là. Cela dit, fidèle à Apple, il n’y aura sans doute pas de fonction pour modifier le modèle prédéfini, n’est-ce pas ?
Cela me rappelle d’anciens articles expliquant que des contraintes comme la fréquence de changement, l’inclusion de certains caractères ou la définition de la longueur étaient considérées comme des faiblesses.
Ce type de schéma ne risque-t-il pas au contraire de devenir une faiblesse ?
https://fr.news.hada.io/topic?id=16939
C’est sans doute pour cela qu’ils ont également expliqué que l’entropie de Shannon était de 71 bits, ce qui est mieux qu’auparavant.
L’obsession d’Apple pour le détail ressort même dans la génération de mots de passe, haha.
En relisant mon commentaire après l’avoir écrit, je me suis dit que ça pouvait donner l’impression que j’étais un fanatique acharné d’Apple. Ce n’est pas du tout quelque chose que je pense habituellement 😅 Je me suis simplement dit que le fait d’avoir créé un format facile à mémoriser et à taper montrait une attention très poussée aux détails de l’expérience utilisateur. J’ajoute donc cette précision, car j’ai l’impression d’avoir pu prêter à confusion.
Les mots de passe de Safari sont enregistrés par domaine et non par sous-domaine, donc s’il s’agit d’une obsession du détail, j’en doute. J’imagine que cela dépend des cas.
........Hein ?
Le souci du détail d’Apple (tout en conservant toujours l’appareil photo qui dépasse, les reflets fantômes de l’appareil photo et l’encoche)
Je pense qu’Apple fait partie des entreprises qui soignent bien les détails, tout en étant évidemment loin d’être parfaite sur tous les plans.
Certains commentaires de quelques personnes me semblent aller trop loin.