Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Violations de données : la majeure partie des internautes ne changent pas leur mot de passe

Violations de données : la majeure partie des internautes ne changent pas leur mot de passe

Le 03 juin 2020 à 09h48

Après une violation de données, les utilisateurs changent rarement leurs mots de passe et lorsqu'ils le font, ils sont souvent plus faibles, titre TechXplore.

Pour parvenir à leurs conclusions, des chercheurs du Carnegie Mellon CyLab Security and Privacy Institute ont en effet observé les pratiques de sécurité de 249 participants volontaires par le biais de l'Observatoire des comportements de sécurité (SBO), un groupe de participants acceptant de faire observer leurs comportements informatiques quotidiens.  

Dans leur étude, basée notamment sur la fuite de données de Yahoo en 2017, seuls 21 des 63 utilisateurs dont le mot de passe avait été compromis l'avait par la suite modifié. Et seuls 13 % l'avaient fait dans les trois mois suivant l'annonce de la violation. De plus, leurs nouveaux mots de passe étaient souvent plus faibles que les précédents. 

Pour aggraver les choses, les nouveaux mots de passe des utilisateurs étaient globalement similaires à ceux utilisés sur d'autres comptes. Et, sur les 30 autres mots de passe similaires en moyenne, moins de trois étaient changés.

Les auteurs de l'étude plaident pour que les entreprises victimes de violations de données indiquent clairement à leurs utilisateurs qu'ils devraient non seulement changer le mot de passe associé à leur compte affecté, mais également sur la totalité des autres sites où ils l'avaient également utilisé. 

Le 03 juin 2020 à 09h48

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Super l’étude sur 249 personnes, ça fait des super stats…  telles qu’ils sont obligés de manipuler la façon de les présenter.

Au lieu de dire 3 personnes sur les 21, on va dire 13% !

votre avatar

A une époque où la norme est d’étaler sa vie privée crasse sur Facebook, où on entend partout que “je n’ai rien à cacher”, la fiabilité d’un mot de passe n’est clairement pas une priorité (surtout en ce moment)

Le j’m’en-foutisme des gens me déséspère parfois. Voire même souvent.<img data-src=" />

votre avatar

249 personnes seulement pour une énième étude sur le sujet, c’est peu fiable mais pas faux non plus si j’en crois ce que je lis ailleurs et ce que je vois autour de moi, il faudrait pour commencer que les gestionnaires de mot de passes comme Bitwarden et KeepassXC soient plus couramment utilisés, hors, j’ai l’impression qu’ils sont encore synonymes de corvées pour beaucoup, quand la raison n’est pas dû à de la méconnaissance pure et simple. La facilité et ce raisonnement du “je n’ai rien à cacher”, “j’ai jamais eu de problèmes”, jusqu’au jour où ça vous arrive, constitue le problème.



Ensuite, il y a cette fausse idée de devoir changer régulièrement ses mots de passes, sauf s’il a été compromis, changer un mot de passe ne sert à rien, de même que mettre en mot de passe un truc incompréhensible comme “542ù%ÖPIj85” n’est pas plus sécurisé que “Monsieur Capuche” ou “Banane”, l’inventeur du concept, Bill Burr, l’a dit lui même, il s’est trompé, les successions de chiffres, de lettres et de caractères spéciaux ne rendent pas les mots de passes plus sécurisés.



Mieux vaut mettre des phrases, plus ou moins longues, qui peuvent être facilement mémorisables, un différent pour chaque comptes et utiliser un gestionnaire de mot de passe fiable et open-source pour les stocker, seule problème, certains sites imposent des mots de passes avec des successions de chiffres, caractères spéciaux etc.



Exemple d’un guide :https://mullvad.net/en/help/create-better-passwords/



Pour savoir si un mot de passe a été compromis, il y a toujours ça :https://haveibeenpwned.com/Passwords



Firefox indique aussi des sites qui ont connus une brèche, plus Lockwise continue d’être améliorer, je ne sais pas comment c’est pour les autres navigateurs.

&nbsp;



&nbsp;

votre avatar

Je me faisais la même remarque…

&nbsp;

C’est dommage parce que le message qu’ils veulent faire passer est important mais il faut que les études tiennent la route pour faire des conclusions…

votre avatar

Comme tu y vas avec ton “étaler sa vie privée crasse sur Facebook”, on dirait que tu en vois tous les jours des gens qui mettent en ligne leur quotidien sur Facebook. En plus, je suis sûr que tu n’as pas vu une interface Facebook depuis plusieurs années.



Et, c’est pas en caricaturant comme ça les gens que tu les feras changer d’avis.

votre avatar







QTrEIX a écrit :





Ensuite, il y a cette fausse idée de devoir changer régulièrement ses mots de passes, sauf s’il a été compromis, changer un mot de passe ne sert à rien, de même que mettre en mot de passe un truc incompréhensible comme “542ù%ÖPIj85” n’est pas plus sécurisé que “Monsieur Capuche” ou “Banane”, l’inventeur du concept, Bill Burr, l’a dit lui même, il s’est trompé, les successions de chiffres, de lettres et de caractères spéciaux ne rendent pas les mots de passes plus sécurisés.







Comment on fait pour savoir si un mot de passe n’a pas été compromis ? (oui, j’ai lu les exemples Firefox, haveibeenpwned, mais j’imagine que toutes les failles ne sont pas répertoriées, il faut d’abord les trouver et ensuite les lister). À mon avis, c’est quand même utile de changer régulièrement de mot de passe, au cas où. Cela-dit, tout dépend de la plateforme qu’on utilise (personnellement, la banque en ligne, je change mon mot de passe tous les ans, le site Next inpact, pas aussi régulièrement voire même jamais).


votre avatar







joma74fr a écrit :



Comment on fait pour savoir si un mot de passe n’a pas été compromis ? (oui, j’ai lu les exemples Firefox, haveibeenpwned, mais j’imagine que toutes les failles ne sont pas répertoriées, il faut d’abord les trouver et ensuite les lister). À mon avis, c’est quand même utile de changer régulièrement de mot de passe, au cas où. Cela-dit, tout dépend de la plateforme qu’on utilise (personnellement, la banque en ligne, je change mon mot de passe tous les ans, le site Next inpact, pas aussi régulièrement voire même jamais).





C’est pour cela qu’il est recommandé d’utiliser un (bon) mot de passe différent pour chaque comptes, pour certaines plateformes comme la Banque oui pourquoi pas, changer son mot de passe régulièrement peut avoir une utilité, mais dans les faits, cette méthode encourage plutôt les mauvaises pratiques, les utilisateurs en viennent à en avoir marre, et finissent par changer un seule caractère pour être débarrassés, ce n’est pas utile. Ne pas oublié non plus que le risque zéro n’existe pas, si des solutions infaillibles existaient, ça se saurait.


votre avatar







joma74fr a écrit :



Comme tu y vas avec ton “étaler sa vie privée crasse sur Facebook”, on dirait que tu en vois tous les jours des gens qui mettent en ligne leur quotidien sur Facebook. En plus, je suis sûr que tu n’as pas vu une interface Facebook depuis plusieurs années.



Et, c’est pas en caricaturant comme ça les gens que tu les feras changer d’avis.







Facebook fanboy spotted.


votre avatar

Mettre une phrase complète, c’est uniquement quand le site ou service en question te le permet ! On est en 2020, et Virgin Media (principal câblo-opérateur britannique - le même qui affirme que c’est pas grave de stocker les mots de passe en clair parce que c’est illégal de hacker des serveurs, il faut que je retrouve cet article, d’ailleurs) les limite à 10 caractères alphanumériques. Et ça arrive souvent ces limites à la mords-moi nœud. De moins en moins, mais quand même.



Quand j’étais abonné chez eux, j’étais content d’avoir un gestionnaire de mots de passe pour avoir un truc le plus aléatoire possible.

votre avatar







Plastivore a écrit :



Mettre une phrase complète, c’est uniquement quand le site ou service en question te le permet ! On est en 2020, et Virgin Media (principal câblo-opérateur britannique - le même qui affirme que c’est pas grave de stocker les mots de passe en clair parce que c’est illégal de hacker des serveurs, il faut que je retrouve cet article, d’ailleurs) les limite à 10 caractères alphanumériques. Et ça arrive souvent ces limites à la mords-moi nœud. De moins en moins, mais quand même.



Quand j’étais abonné chez eux, j’étais content d’avoir un gestionnaire de mots de passe pour avoir un truc le plus aléatoire possible.





Je sais, et je l’ai écris dans mon premier commentaire “seule problème, certains sites imposent des mots de passes avec des successions de chiffres, caractères spéciaux etc.”, et effectivement c’est un problème, parce que cette idée qui date de 2002-2003 s’est répandu, certains de mes comptes m’ont aussi imposés des suites de chiffres, lettres etc, c’est toujours mieux que 1234 hein, évidemment. Virgin, ça me rajeunit pas ce truc,des années que je les avaient oubliés <img data-src=" />


votre avatar







Plastivore a écrit :



Mettre une phrase complète, c’est uniquement quand le site ou service en question te le permet ! On est en 2020, et Virgin Media (principal câblo-opérateur britannique - le même qui affirme que c’est pas grave de stocker les mots de passe en clair parce que c’est illégal de hacker des serveurs, il faut que je retrouve cet article, d’ailleurs) les limite à 10 caractères alphanumériques. Et ça arrive souvent ces limites à la mords-moi nœud. De moins en moins, mais quand même.



Quand j’étais abonné chez eux, j’étais content d’avoir un gestionnaire de mots de passe pour avoir un truc le plus aléatoire possible.





J’ai eu le cas sur plusieurs sites ou ils empêchent le copier / coller ! Super pratique avec un générateur de mot de passe… Le truc contre-productif -_-


votre avatar

Attends, j’ai encore mieux ! Le formulaire d’inscription d’O2, afin d’empêcher de copier coller des mots de passe ou l’adresse email dans les champs de confirmation, empêchait carrément d’utiliser les touches spéciales du clavier. Et comme malgré le fait que je vis en Écosse depuis 15 ans, je fais mon chieur et j’utilise toujours un clavier français, je ne pouvais pas taper le ‘@’ de mon adresse email. C’est ballot ! Bon, c’était en 2010 et ça a changé depuis, mais j’ai dû ajouter la disposition UK sur mon PC pour taper mon adresse email.

votre avatar

Le “fanboy” était un peu trop… Pas&nbsp; la peine de dénigrer les&nbsp; autres.

votre avatar







MickeyFreeStyler a écrit :



Le “fanboy” était un peu trop… Pas  la peine de dénigrer les  autres.







Quand ça a des pattes de canard, un bec de canard et que ça fait “coin coin”, il y a de fortes chances que ce soit un canard.


votre avatar

La caricature c’est peut-être la seul chose qu’il reste de sympathique vu tout ce qui a été mis en lumière depuis la création (confidentialité à paramétrage variable ,profiles fantômes, consultation du carnet de contact par l’appli, tag des photos, cambridge analytica…).



Faut-il attendre des procès entre citoyens pour partage non consenti d’informations personnelles pour que la caricature semble pédagogique?

Violations de données : la majeure partie des internautes ne changent pas leur mot de passe

Fermer