L’autre jour je passe à côté de ça (dans ce tweet) :

En gros, pour s’inscrire sur ce site, il faut un mot de passe. Et comme tous les sites, il y a des règles pour choisir un bon mot de passe. Sauf qu’ici, les règles sont totalement débiles : l’une d’elle décide qu’un mot de passe doit avoir entre 6 et 12 lettres, mais surtout pas 9.

Je ne sais pas ce que la personne qui a mis ça a fumé, mais il a vraiment trop dû en prendre, gros.

Qu’on veuille pousser les gens à prendre l’habitude de choisir des mots de passe complexes et surtout longs, c’est une bonne chose. Mais là c’est totalement contre-productif. Généralement, quand on limite la taille d’un mot de passe, c’est parce que le système qui gère les mots de passe et les ID des utilisateurs ne peut pas stocker des chaînes de caractères trop longs. À la base, ces « règles » étaient là pour ça. Donc ajouter une clause « entre 6 et 12 caractères, mais pas 9 » est d’une absurdité totale.

De plus, dans tous les cas, quand on stocke un mot de passe sur le serveur, quand on sait s’y prendre, ON NE STOCKE PAS LE MOT DE PASSE EN CLAIR. On utilise un algorithme de hashage par dessus le mot de passe. On prend également soin d’ajouter dans l’algorithme de hashage des informations comme un « salt » au d’autres informations (navigateur, IP, date…). Sans entrer dans les détails, il s’agit d’ajouter des informations supplémentaires avec le mot de passe pour augmenter drastiquement sa solidité.

Une conséquence du hashage (un algo à sens unique qui offusque le mot de passe de façon irrémédiable), est que quelque soit la longueur du mot de passe (8, 12 ou 4579 caractères), on obtiendra toujours une chaîne de caractères unique d’une longueur bien précise : 32, 64 ou 128 bits caractères. C’est cette chaîne qui est alors stockée (et non pas le mot de passe lui-même).

Avec ceci en tête : expliquez-moi pourquoi mon mot de passe ne peut pas être aussi longue que je le souhaite ?

Par ailleurs, que mon mot de passe contienne des lettres minuscules ou majuscules, des chiffres, des caractères non-alphanumériques ou encore des kanji, de l’hébreu ou même des émoticônes, ça ne devrait jamais poser le moindre problème.

À nouveau : expliquez-moi quel système vous utilisez pour que vous soyez incapables d’accepter des signes de ponctuation ou des caractères inhabituels ? C’est quoi votre problème ?

Laissez les utilisateurs faire : s’ils veulent mettre des smiley dans un mot de passe, c’est leur problème. C’est à eux d’être assez informés pour savoir que les émoticônes c’est la merde et selon les appareils ils sont tous différents. C’est à eux de choisir de mettre des kanji dedans, et de pouvoir les reconnaître (et savoir les lire).

Plutôt que de prendre les gens pour des cons, apprenez leur à être moins cons. C’était pas un des buts d’internet : informer le monde ?

Dans un contexte où la sécurité des données est primordiale, il n’y plus aucune raison pour limiter la complexité et la longueur des mots de passe, si ce n’est votre incompétence technique (à celui qui code, ou plutôt à celui qui donne les ordres à celui qui code, c’est d’ailleurs généralement cette seconde solution…).