Des chercheurs ont constaté que le fait d'établir une politique de mot de passe exigeant l'utilisation de mots de passe plus longs et plus complexes réduit la probabilité que les utilisateurs les réutilisent pour de multiples services en ligne.
Une équipe de trois universitaires de l'Université de l'Indiana a entrepris d'examiner l'impact de la prescription de règles pour la création de mots de passe sur la réutilisation de ces derniers. Pour ce faire, ils ont d'abord analysé les politiques en matière de mots de passe de 22 universités aux États-Unis. Ils ont ensuite fouillé parmi 1,3 milliard de combinaisons nom d'utilisateur/mot de passe qui sont disponibles en ligne à la suite d'infractions passées. Ce faisant, ils ont trouvé près de 7,4 millions d'identifiants de connexion où les adresses électroniques appartenaient au nom de domaine associé aux universités susmentionnées.
« Sur la base des adresses e-mail appartenant au domaine d'une université (nous avons vérifié l'adresse de domaine .edu), les mots de passe ont été compilés et testés par rapport à la politique de mots de passe prescrite par l'université correspondante, » déclarent les chercheurs. »
En fin de compte, ils ont constaté que plus la longueur minimale prescrite d'un mot de passe ou d'une phrase de passe est élevée, plus la probabilité qu'il soit réutilisé sur un autre site est faible.
« Il y a une tendance distincte d'avoir une longueur minimale plus élevée requise, ce qui réduit la probabilité de réutilisation dans plusieurs universités, » selon la principale conclusion de leur étude, intitulée Facteurs influençant la réutilisation des mots de passe : Une étude de cas (Factors Influencing Password Reuse: A Case Study)
Avec son exigence d'une longueur minimale de 15 caractères, l'Université de l'Indiana (IU) a obtenu les meilleurs résultats. Comme le résume L. Jean Camp, l'un des trois chercheurs à l'origine du document, l'exigence d'un mot de passe d'au moins 15 caractères a dissuadé presque tous les utilisateurs de l'IU (99,98 %) de le recycler sur d'autres sites.
« D’autres universités, ayant moins d'exigences en matière de mots de passe, avaient des taux de réutilisation pouvant aller jusqu'à 40 pour cent, » souligne-t-elle. « Moins d'exigences en matière de mot de passe » signifie ici que le mot de passe ne requiert qu'un minimum de sept caractères et qu'un mélange de lettres et de chiffres n'est pas nécessaire.
En fait, la complexité des mots de passe est à peu près la même chose. Les usagers des universités ayant élaboré une politique de mots de passe plus complexe étaient beaucoup moins susceptibles de voir les mots de passe universitaires réutilisés que celles qui étaient moins strictes. Dans ce cas, la cote de complexité la plus élevée équivaut à au moins une lettre minuscule, une lettre majuscule, un chiffre et un caractère spécial.
Sur la base de leurs conclusions, les chercheurs ont suggéré quatre recommandations aux organisations et au grand public : augmenter la longueur minimale des mots de passe au-delà de huit caractères, augmenter le plafond de la longueur des mots de passe, interdire le nom ou le nom d'utilisateur de l'utilisateur dans les mots de passe et envisager l’adoption de l'authentification à facteurs multiples.