Thèse soutenue

Mesure de la robustesse des mots de passe
FR  |  
EN
Accès à la thèse
Auteur / Autrice : Mathieu Valois
Direction : Jean-Marie Le Bars
Type : Thèse de doctorat
Discipline(s) : Informatique
Date : Soutenance le 04/12/2019
Etablissement(s) : Normandie
Ecole(s) doctorale(s) : École doctorale mathématiques, information et ingénierie des systèmes (Caen)
Partenaire(s) de recherche : Laboratoire : Groupe de recherche en informatique, image, automatique et instrumentation de Caen (1995-....)
établissement de préparation : Université de Caen Normandie (1971-....)
Jury : Président / Présidente : Maryline Laurent
Examinateurs / Examinatrices : Jean-Marie Le Bars, Benjamin Nguyen, Caroline Fontaine, Patrick Lacharme, Gildas Avoine
Rapporteurs / Rapporteuses : Benjamin Nguyen, Caroline Fontaine

Résumé

FR  |  
EN

À l'ère où notre identité numérique se confond toujours davantage avec notre identité personnelle, les besoins en sécurité de nos comptes en ligne sont d'autant plus marqués. Les mots de passe sont à la fois la manière de s'authentifier la plus utilisée et à la fois le maillon le plus faible de la chaîne de sécurité. Malgré l'indéniable fragilité de la plupart des mots de passe utilisés en ligne, le mot de passe reste le meilleur moyen de s'authentifier réunissant sécurité, accessibilité et respect de la vie privée.L'objectif de cette thèse est de faciliter la conception de mesures de robustesse des mots de passe qui soient pertinentes vis-à-vis des attaques les plus sophistiquées sur les mots de passe. Ces attaques reposent sur des modèles probabilistes de la manière dont les utilisateurs choisissent leur mot de passe. Il s'avèrent que ces attaques sont très efficaces pour trouver des mots de passe plus complexes que ceux habituellement trouvés par les méthodes naïves. Ce travail repose sur trois contributions pour identifier les points clés d'une mesure de robustesse des mots de passe moderne. La première contribution modélise le processus d'attaque sur les mots de passe, formalise et mesure la performance d'un tel processus. La deuxième contribution se charge de montrer que les méthodes actuellement déployées pour mesurer la robustesse des mots de passe ne sont pas suffisantes pour se prémunir des attaques sophistiquées. La troisième contribution analyse algorithmiquement les attaques sophistiquées en observant leur comportement dans le but de concevoir des méthodes efficaces pour augmenter le coût d'exécution de ces attaques. La validation des méthodes s'est effectuée en utilisant des mots de passe issus de fuites de données publiques, totalisant plus de 500 millions de mots de passe.