Récupération de mot de passe : la question secrète une fausse bonne idée… | Le Net Expert Informatique
Récupération de mot de passe : la question secrète une fausse bonne idée… |
Vous avez oublié votre mot de passe ? Alors souvenez-vous des questions secrètes paramétrées et des réponses associées pour récupérer l’accès au service. Mais selon des experts de Google, mémorisation et sécurité ne font pas bon ménage.
Oublier son mot de passe pour accéder à un service en ligne, cela n’a rien d’improbable. Pour permettre de rétablir l’accès au service, les fournisseurs ont imaginé un système de récupération basé sur des questions secrètes ou challenge. Le principe est simple : l’utilisateur sélectionne ou définit des questions et y associe une réponse. En cas d’oubli, pour rétablir son compte, l’utilisateur devra répondre correctement à ces questions. Une procédure sécurisée et efficace ?
Sécurité moindre que le mot de passe Manifestement non selon une étude réalisée par des ingénieurs de Google. Des données analysées, il ressort ainsi que les questions secrètes offrent un niveau de sécurité de loin inférieur à celui du mot de passe défini par le titulaire du compte. Cette procédure peut donc être exploitée par un individu malveillant pour accéder frauduleusement à un compte, contournant de cette façon la protection du mot de passe – déjà loin d’être elle-même infaillible. Mais il ne s’agit toutefois pas de la seule faiblesse de ce système. Les chercheurs constatent qu’une part importante d’utilisateurs (37%) fournissent de fausses réponses à ces questions, partant du principe que cela renforcera la sécurité du challenge. L’effet en matière de sécurité s’avère toutefois inverse, les réponses volontairement erronées étant dans les faits plus prévisibles. Mais l’étude estime en outre que cette fonctionnalité manque son objectif principal, c’est-à-dire la récupération effective du mot de passe. Les réponses aux questions secrètes présentent ainsi un faible niveau de mémorisation ou tendant à s’altérer. 40% des utilisateurs américains de l’échantillon examiné ont ainsi tout simplement oublié leurs réponses. Une procédure de régénération de mot de passe par SMS présente en comparaison un taux de succès de 80%, rappellent les experts de Google.
Le temps passe et on oublie Est-il si difficile de mémoriser ces questions/réponses secrètes ? D’après l’étude, plus la robustesse de la question est forte et plus faible est la mémorisation. « Nous concluons qu’il semble presque impossible de trouver des questions secrètes qui soient à la fois sécurisées et mémorisables » jugent par conséquent les chercheurs. Et le temps est un facteur important dans le processus de mémorisation. Un exemple : si la question porte sur la nourriture préférée de l’utilisateur, celui-ci aura 74% de chances de s’en souvenir après un mois, mais seulement 53% à trois mois et 47% à un an. La mémorisation s’altère plus encore lorsque l’utilisateur, par souci de sécurité, fournit une réponse à la question secrète volontairement fausse. Avec le temps, le risque s’accroît en effet qu’il ait oublié avoir utilisé une telle pratique et la réponse alors fournie. Enfin la réponse à une question peut également, et tout simplement, changer avec le temps. Pour Google, si le recours aux questions secrètes dans le cadre d’une procédure de récupération de mot de passe continue d’avoir une certaine utilité, il devrait néanmoins être combiné à d’autres méthodes ou remplacé par une « alternative plus fiable ».
Contactez-nous Denis JACOPINI
Cet article vous plait ? Partagez !
Source : http://www.zdnet.fr/actualites/recuperation-de-mot-de-passe-la-question-secrete-une-fausse-bonne-idee-39819706.htm Par Christophe Auffray
|