Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Violations de données : la majeure partie des internautes ne changent pas leur mot de passeCrédits : milindri/iStock

Après une violation de données, les utilisateurs changent rarement leurs mots de passe et lorsqu'ils le font, ils sont souvent plus faibles, titre TechXplore.

Pour parvenir à leurs conclusions, des chercheurs du Carnegie Mellon CyLab Security and Privacy Institute ont en effet observé les pratiques de sécurité de 249 participants volontaires par le biais de l'Observatoire des comportements de sécurité (SBO), un groupe de participants acceptant de faire observer leurs comportements informatiques quotidiens.  

Dans leur étude, basée notamment sur la fuite de données de Yahoo en 2017, seuls 21 des 63 utilisateurs dont le mot de passe avait été compromis l'avait par la suite modifié. Et seuls 13 % l'avaient fait dans les trois mois suivant l'annonce de la violation. De plus, leurs nouveaux mots de passe étaient souvent plus faibles que les précédents. 

Pour aggraver les choses, les nouveaux mots de passe des utilisateurs étaient globalement similaires à ceux utilisés sur d'autres comptes. Et, sur les 30 autres mots de passe similaires en moyenne, moins de trois étaient changés.

Les auteurs de l'étude plaident pour que les entreprises victimes de violations de données indiquent clairement à leurs utilisateurs qu'ils devraient non seulement changer le mot de passe associé à leur compte affecté, mais également sur la totalité des autres sites où ils l'avaient également utilisé. 

15 commentaires
Avatar de KaspOu INpactien
Avatar de KaspOuKaspOu- 03/06/20 à 11:43:59

Super l'étude sur 249 personnes, ça fait des super stats...  telles qu'ils sont obligés de manipuler la façon de les présenter.
Au lieu de dire 3 personnes sur les 21, on va dire 13% !

Avatar de Ricard INpactien
Avatar de RicardRicard- 03/06/20 à 11:56:37

A une époque où la norme est d'étaler sa vie privée crasse sur Facebook, où on entend partout que "je n'ai rien à cacher", la fiabilité d'un mot de passe n'est clairement pas une priorité (surtout en ce moment)
Le j'm'en-foutisme des gens me déséspère parfois. Voire même souvent.:fumer:

Avatar de QTrEIX INpactien
Avatar de QTrEIXQTrEIX- 03/06/20 à 13:25:07

249 personnes seulement pour une énième étude sur le sujet, c'est peu fiable mais pas faux non plus si j'en crois ce que je lis ailleurs et ce que je vois autour de moi, il faudrait pour commencer que les gestionnaires de mot de passes comme Bitwarden et KeepassXC soient plus couramment utilisés, hors, j'ai l'impression qu'ils sont encore synonymes de corvées pour beaucoup, quand la raison n'est pas dû à de la méconnaissance pure et simple. La facilité et ce raisonnement du "je n'ai rien à cacher", "j'ai jamais eu de problèmes", jusqu'au jour où ça vous arrive, constitue le problème.

Ensuite, il y a cette fausse idée de devoir changer régulièrement ses mots de passes, sauf s'il a été compromis, changer un mot de passe ne sert à rien, de même que mettre en mot de passe un truc incompréhensible comme "542ù%ÖPIj85" n'est pas plus sécurisé que "Monsieur Capuche" ou "Banane", l’inventeur du concept, Bill Burr, l'a dit lui même, il s'est trompé, les successions de chiffres, de lettres et de caractères spéciaux ne rendent pas les mots de passes plus sécurisés.

Mieux vaut mettre des phrases, plus ou moins longues, qui peuvent être facilement mémorisables, un différent pour chaque comptes et utiliser un gestionnaire de mot de passe fiable et open-source pour les stocker, seule problème, certains sites imposent des mots de passes avec des successions de chiffres, caractères spéciaux etc.

Exemple d'un guide :https://mullvad.net/en/help/create-better-passwords/

Pour savoir si un mot de passe a été compromis, il y a toujours ça :https://haveibeenpwned.com/Passwords

Firefox indique aussi des sites qui ont connus une brèche, plus Lockwise continue d'être améliorer, je ne sais pas comment c'est pour les autres navigateurs.
 

 

Avatar de Jomn Abonné
Avatar de JomnJomn- 03/06/20 à 13:27:31

Je me faisais la même remarque...
 
C'est dommage parce que le message qu'ils veulent faire passer est important mais il faut que les études tiennent la route pour faire des conclusions...

Édité par Jomn le 03/06/2020 à 13:28
Avatar de anonyme_eef969e99a274610807fd9faa41faeaa Abonné

Comme tu y vas avec ton "étaler sa vie privée crasse sur Facebook", on dirait que tu en vois tous les jours des gens qui mettent en ligne leur quotidien sur Facebook. En plus, je suis sûr que tu n'as pas vu une interface Facebook depuis plusieurs années.

Et, c'est pas en caricaturant comme ça les gens que tu les feras changer d'avis.

Avatar de anonyme_eef969e99a274610807fd9faa41faeaa Abonné

QTrEIX a écrit :

...
Ensuite, il y a cette fausse idée de devoir changer régulièrement ses mots de passes, sauf s'il a été compromis, changer un mot de passe ne sert à rien, de même que mettre en mot de passe un truc incompréhensible comme "542ù%ÖPIj85" n'est pas plus sécurisé que "Monsieur Capuche" ou "Banane", l’inventeur du concept, Bill Burr, l'a dit lui même, il s'est trompé, les successions de chiffres, de lettres et de caractères spéciaux ne rendent pas les mots de passes plus sécurisés.
...

Comment on fait pour savoir si un mot de passe n'a pas été compromis ? (oui, j'ai lu les exemples Firefox, haveibeenpwned, mais j'imagine que toutes les failles ne sont pas répertoriées, il faut d'abord les trouver et ensuite les lister). À mon avis, c'est quand même utile de changer régulièrement de mot de passe, au cas où. Cela-dit, tout dépend de la plateforme qu'on utilise (personnellement, la banque en ligne, je change mon mot de passe tous les ans, le site Next inpact, pas aussi régulièrement voire même jamais).

Édité par joma74fr le 03/06/2020 à 13:47
Avatar de QTrEIX INpactien
Avatar de QTrEIXQTrEIX- 03/06/20 à 14:02:17

joma74fr a écrit :

Comment on fait pour savoir si un mot de passe n'a pas été compromis ? (oui, j'ai lu les exemples Firefox, haveibeenpwned, mais j'imagine que toutes les failles ne sont pas répertoriées, il faut d'abord les trouver et ensuite les lister). À mon avis, c'est quand même utile de changer régulièrement de mot de passe, au cas où. Cela-dit, tout dépend de la plateforme qu'on utilise (personnellement, la banque en ligne, je change mon mot de passe tous les ans, le site Next inpact, pas aussi régulièrement voire même jamais).

C'est pour cela qu'il est recommandé d'utiliser un (bon) mot de passe différent pour chaque comptes, pour certaines plateformes comme la Banque oui pourquoi pas, changer son mot de passe régulièrement peut avoir une utilité, mais dans les faits, cette méthode encourage plutôt les mauvaises pratiques, les utilisateurs en viennent à en avoir marre, et finissent par changer un seule caractère pour être débarrassés, ce n'est pas utile. Ne pas oublié non plus que le risque zéro n'existe pas, si des solutions infaillibles existaient, ça se saurait.

Édité par QTrEIX le 03/06/2020 à 14:02
Avatar de Ricard INpactien
Avatar de RicardRicard- 03/06/20 à 14:03:56

joma74fr a écrit :

Comme tu y vas avec ton "étaler sa vie privée crasse sur Facebook", on dirait que tu en vois tous les jours des gens qui mettent en ligne leur quotidien sur Facebook. En plus, je suis sûr que tu n'as pas vu une interface Facebook depuis plusieurs années.

Et, c'est pas en caricaturant comme ça les gens que tu les feras changer d'avis.

Facebook fanboy spotted.

Avatar de Plastivore Abonné
Avatar de PlastivorePlastivore- 03/06/20 à 14:19:05

Mettre une phrase complète, c'est uniquement quand le site ou service en question te le permet ! On est en 2020, et Virgin Media (principal câblo-opérateur britannique - le même qui affirme que c'est pas grave de stocker les mots de passe en clair parce que c'est illégal de hacker des serveurs, il faut que je retrouve cet article, d'ailleurs) les limite à 10 caractères alphanumériques. Et ça arrive souvent ces limites à la mords-moi nœud. De moins en moins, mais quand même.

Quand j'étais abonné chez eux, j'étais content d'avoir un gestionnaire de mots de passe pour avoir un truc le plus aléatoire possible.

Avatar de QTrEIX INpactien
Avatar de QTrEIXQTrEIX- 03/06/20 à 14:26:34

Plastivore a écrit :

Mettre une phrase complète, c'est uniquement quand le site ou service en question te le permet ! On est en 2020, et Virgin Media (principal câblo-opérateur britannique - le même qui affirme que c'est pas grave de stocker les mots de passe en clair parce que c'est illégal de hacker des serveurs, il faut que je retrouve cet article, d'ailleurs) les limite à 10 caractères alphanumériques. Et ça arrive souvent ces limites à la mords-moi nœud. De moins en moins, mais quand même.

Quand j'étais abonné chez eux, j'étais content d'avoir un gestionnaire de mots de passe pour avoir un truc le plus aléatoire possible.

Je sais, et je l'ai écris dans mon premier commentaire "seule problème, certains sites imposent des mots de passes avec des successions de chiffres, caractères spéciaux etc.", et effectivement c'est un problème, parce que cette idée qui date de 2002-2003 s'est répandu, certains de mes comptes m'ont aussi imposés des suites de chiffres, lettres etc, c'est toujours mieux que 1234 hein, évidemment. Virgin, ça me rajeunit pas ce truc,des années que je les avaient oubliés :transpi:

Il n'est plus possible de commenter cette actualité.
Page 1 / 2