Après une violation de données, les utilisateurs changent rarement leurs mots de passe et lorsqu'ils le font, ils sont souvent plus faibles, titre TechXplore.
Pour parvenir à leurs conclusions, des chercheurs du Carnegie Mellon CyLab Security and Privacy Institute ont en effet observé les pratiques de sécurité de 249 participants volontaires par le biais de l'Observatoire des comportements de sécurité (SBO), un groupe de participants acceptant de faire observer leurs comportements informatiques quotidiens.
Dans leur étude, basée notamment sur la fuite de données de Yahoo en 2017, seuls 21 des 63 utilisateurs dont le mot de passe avait été compromis l'avait par la suite modifié. Et seuls 13 % l'avaient fait dans les trois mois suivant l'annonce de la violation. De plus, leurs nouveaux mots de passe étaient souvent plus faibles que les précédents.
Pour aggraver les choses, les nouveaux mots de passe des utilisateurs étaient globalement similaires à ceux utilisés sur d'autres comptes. Et, sur les 30 autres mots de passe similaires en moyenne, moins de trois étaient changés.
Les auteurs de l'étude plaident pour que les entreprises victimes de violations de données indiquent clairement à leurs utilisateurs qu'ils devraient non seulement changer le mot de passe associé à leur compte affecté, mais également sur la totalité des autres sites où ils l'avaient également utilisé.
Commentaires (15)
#1
Super l’étude sur 249 personnes, ça fait des super stats… telles qu’ils sont obligés de manipuler la façon de les présenter.
Au lieu de dire 3 personnes sur les 21, on va dire 13% !
#2
A une époque où la norme est d’étaler sa vie privée crasse sur Facebook, où on entend partout que “je n’ai rien à cacher”, la fiabilité d’un mot de passe n’est clairement pas une priorité (surtout en ce moment)
" />
Le j’m’en-foutisme des gens me déséspère parfois. Voire même souvent.
#3
249 personnes seulement pour une énième étude sur le sujet, c’est peu fiable mais pas faux non plus si j’en crois ce que je lis ailleurs et ce que je vois autour de moi, il faudrait pour commencer que les gestionnaires de mot de passes comme Bitwarden et KeepassXC soient plus couramment utilisés, hors, j’ai l’impression qu’ils sont encore synonymes de corvées pour beaucoup, quand la raison n’est pas dû à de la méconnaissance pure et simple. La facilité et ce raisonnement du “je n’ai rien à cacher”, “j’ai jamais eu de problèmes”, jusqu’au jour où ça vous arrive, constitue le problème.
Ensuite, il y a cette fausse idée de devoir changer régulièrement ses mots de passes, sauf s’il a été compromis, changer un mot de passe ne sert à rien, de même que mettre en mot de passe un truc incompréhensible comme “542ù%ÖPIj85” n’est pas plus sécurisé que “Monsieur Capuche” ou “Banane”, l’inventeur du concept, Bill Burr, l’a dit lui même, il s’est trompé, les successions de chiffres, de lettres et de caractères spéciaux ne rendent pas les mots de passes plus sécurisés.
Mieux vaut mettre des phrases, plus ou moins longues, qui peuvent être facilement mémorisables, un différent pour chaque comptes et utiliser un gestionnaire de mot de passe fiable et open-source pour les stocker, seule problème, certains sites imposent des mots de passes avec des successions de chiffres, caractères spéciaux etc.
Exemple d’un guide :https://mullvad.net/en/help/create-better-passwords/
Pour savoir si un mot de passe a été compromis, il y a toujours ça :https://haveibeenpwned.com/Passwords
Firefox indique aussi des sites qui ont connus une brèche, plus Lockwise continue d’être améliorer, je ne sais pas comment c’est pour les autres navigateurs.
#4
Je me faisais la même remarque…
C’est dommage parce que le message qu’ils veulent faire passer est important mais il faut que les études tiennent la route pour faire des conclusions…
#5
Comme tu y vas avec ton “étaler sa vie privée crasse sur Facebook”, on dirait que tu en vois tous les jours des gens qui mettent en ligne leur quotidien sur Facebook. En plus, je suis sûr que tu n’as pas vu une interface Facebook depuis plusieurs années.
Et, c’est pas en caricaturant comme ça les gens que tu les feras changer d’avis.
#6
#7
#8
#9
Mettre une phrase complète, c’est uniquement quand le site ou service en question te le permet ! On est en 2020, et Virgin Media (principal câblo-opérateur britannique - le même qui affirme que c’est pas grave de stocker les mots de passe en clair parce que c’est illégal de hacker des serveurs, il faut que je retrouve cet article, d’ailleurs) les limite à 10 caractères alphanumériques. Et ça arrive souvent ces limites à la mords-moi nœud. De moins en moins, mais quand même.
Quand j’étais abonné chez eux, j’étais content d’avoir un gestionnaire de mots de passe pour avoir un truc le plus aléatoire possible.
#10
#11
#12
Attends, j’ai encore mieux ! Le formulaire d’inscription d’O2, afin d’empêcher de copier coller des mots de passe ou l’adresse email dans les champs de confirmation, empêchait carrément d’utiliser les touches spéciales du clavier. Et comme malgré le fait que je vis en Écosse depuis 15 ans, je fais mon chieur et j’utilise toujours un clavier français, je ne pouvais pas taper le ‘@’ de mon adresse email. C’est ballot ! Bon, c’était en 2010 et ça a changé depuis, mais j’ai dû ajouter la disposition UK sur mon PC pour taper mon adresse email.
#13
Le “fanboy” était un peu trop… Pas la peine de dénigrer les autres.
#14
#15
La caricature c’est peut-être la seul chose qu’il reste de sympathique vu tout ce qui a été mis en lumière depuis la création (confidentialité à paramétrage variable ,profiles fantômes, consultation du carnet de contact par l’appli, tag des photos, cambridge analytica…).
Faut-il attendre des procès entre citoyens pour partage non consenti d’informations personnelles pour que la caricature semble pédagogique?