Récupération de mot de passe : la question secrète une fausse bonne idée…

Vous avez oublié votre mot de passe ? Alors souvenez-vous des questions secrètes paramétrées et des réponses associées pour récupérer l’accès au service. Mais selon des experts de Google, mémorisation et sécurité ne font pas bon ménage. 

Oublier son mot de passe pour accéder à un service en ligne, cela n’a rien d’improbable. Pour permettre de rétablir l’accès au service, les fournisseurs ont imaginé un système de récupération basé sur des questions secrètes ou challenge.

Le principe est simple : l’utilisateur sélectionne ou définit des questions et y associe une réponse. En cas d’oubli, pour rétablir son compte, l’utilisateur devra répondre correctement à ces questions. Une procédure sécurisée et efficace ?

 

 

Sécurité moindre que le mot de passe

Manifestement non selon une étude réalisée par des ingénieurs de Google. Des données analysées, il ressort ainsi que les questions secrètes offrent un niveau de sécurité de loin inférieur à celui du mot de passe défini par le titulaire du compte.

Cette procédure peut donc être exploitée par un individu malveillant pour accéder frauduleusement à un compte, contournant de cette façon la protection du mot de passe – déjà loin d’être elle-même infaillible. Mais il ne s’agit toutefois pas de la seule faiblesse de ce système.

Les chercheurs constatent qu’une part importante d’utilisateurs (37%) fournissent de fausses réponses à ces questions, partant du principe que cela renforcera la sécurité du challenge. L’effet en matière de sécurité s’avère toutefois inverse, les réponses volontairement erronées étant dans les faits plus prévisibles.

Mais l’étude estime en outre que cette fonctionnalité manque son objectif principal, c’est-à-dire la récupération effective du mot de passe. Les réponses aux questions secrètes présentent ainsi un faible niveau de mémorisation ou tendant à s’altérer.

40% des utilisateurs américains de l’échantillon examiné ont ainsi tout simplement oublié leurs réponses. Une procédure de régénération de mot de passe par SMS présente en comparaison un taux de succès de 80%, rappellent les experts de Google.

 

 

Le temps passe et on oublie

Est-il si difficile de mémoriser ces questions/réponses secrètes ? D’après l’étude, plus la robustesse de la question est forte et plus faible est la mémorisation. « Nous concluons qu’il semble presque impossible de trouver des questions secrètes qui soient à la fois sécurisées et mémorisables » jugent par conséquent les chercheurs.

Et le temps est un facteur important dans le processus de mémorisation. Un exemple : si la question porte sur la nourriture préférée de l’utilisateur, celui-ci aura 74% de chances de s’en souvenir après un mois, mais seulement 53% à trois mois et 47% à un an.

La mémorisation s’altère plus encore lorsque l’utilisateur, par souci de sécurité, fournit une réponse à la question secrète volontairement fausse. Avec le temps, le risque s’accroît en effet qu’il ait oublié avoir utilisé une telle pratique et la réponse alors fournie. Enfin la réponse à une question peut également, et tout simplement, changer avec le temps.

Pour Google, si le recours aux questions secrètes dans le cadre d’une procédure de récupération de mot de passe continue d’avoir une certaine utilité, il devrait néanmoins être combiné à d’autres méthodes ou remplacé par une « alternative plus fiable ».

 

 

 


Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

 

 


Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : http://www.zdnet.fr/actualites/recuperation-de-mot-de-passe-la-question-secrete-une-fausse-bonne-idee-39819706.htm

Par Christophe Auffray

 

 

image_pdfimage_print