Récupération de mot de passe la question secrète, une fausse bonne idée

Récupération de mot de passe la question secrète, une fausse bonne idée

Hands Holding Digital Tablet AccessibilityVous avez oublié votre mot de passe ? Alors souvenez-vous des questions secrètes paramétrées et des réponses associées pour récupérer l’accès au service. Mais selon des experts de Google, mémorisation et sécurité ne font pas bon ménage.

Oublier son mot de passe pour accéder à un service en ligne, cela n’a rien d’improbable. Pour permettre de rétablir l’accès au service, les fournisseurs ont imaginé un système de récupération basé sur des questions secrètes ou challenge. Le principe est simple : l’utilisateur sélectionne ou définit des questions et y associe une réponse. En cas d’oubli, pour rétablir son compte, l’utilisateur devra répondre correctement à ces questions. Une procédure sécurisée et efficace ?

Manifestement non selon une étude réalisée par des ingénieurs de Google. Des données analysées, il ressort ainsi que les questions secrètes offrent un niveau de sécurité de loin inférieur à celui du mot de passe défini par le titulaire du compte. Cette procédure peut donc être exploitée par un individu malveillant pour accéder frauduleusement à un compte, contournant de cette façon la protection du mot de passe – déjà loin d’être elle-même infaillible. Mais il ne s’agit toutefois pas de la seule faiblesse de ce système. Les chercheurs constatent qu’une part importante d’utilisateurs (37%) fournissent de fausses réponses à ces questions, partant du principe que cela renforcera la sécurité du challenge. L’effet en matière de sécurité s’avère toutefois inverse, les réponses volontairement erronées étant dans les faits plus prévisibles .

R. S.