Google souligne la faiblesse des questions secrètes

Les questions secrètes visent à apporter une certaine sécurité. Pourtant, une étude de Google révèle les faiblesses de ce dispositif.

Ceux qui ont déjà été confrontés à la perte de leur mot de passe en ligne ont déjà eu à faire aux questions secrètes, des questions/réponses qui permettent en théorie de vérifier votre identité en vous interrogeant sur des informations que vous êtes normalement seul à connaitre.

Une étude de Google révèle les faiblesses de ce dispositif.

Un des problèmes, c’est que les réponses aux questions « Quel était le nom de votre premier professeur ? », « Comment s’appelle votre premier animal de compagnie ? », « Quelle est la couleur de votre voiture ? », « Quel est votre plat préféré ? », « Quel était le nom de jeune fille de votre mère ? », etc., sont des questions auxquelles les réponses sont très facilement trouvables. En effet, il est souvent possible d’obtenir ces réponses par un peu d’ingénierie sociale, notamment en fouillant dans les réseaux sociaux.

Par ailleurs, dans certains cas, il est simplement possible d’utiliser les répondes les plus répandues, comme « pizza » pour le plat préféré.

Il est bien évidemment possible d’améliorer le système est fournissant de fausses réponses. Le problème, c’est qu’il faudra se rappeler les réponses fournies le moment venu.

Il est aussi possible d’utiliser des questions plus compliquées, voire d’en combiner plusieurs. Mais cette approche est contraignante pour l’utilisateur.

En effet, si 79% des internautes répondent correctement à la question « Dans quelle ville êtes-vous né ? » alors que les pirates ne sont que 6,9%, ou que ces mêmes taux sont respectivement de 74% et 14,6% pour la question « Quel est le deuxième prénom de votre père ? », les chances de succès des pirates tombent à 1% si on combine ces deux questions, mais les utilisateurs ne sont aussi plus que 59% à répondre correctement.

En conclusion, Google ne prétend pas qu’il faut supprimer les questions secrètes, mais préconise d’y réfléchir plus sérieusement, que cela soit du côté des sites ou du côté des utilisateurs, notamment pour choisir soigneusement les questions et les réponses associées.

La firme de Mountain View recommande également de ne pas limiter la réinitialisation du mot de passe à cette seule méthode. L’option de l’envoi d’un code de récupération à une adresse e-mail secondaire ou par SMS sont des alternatives.

Tags

Articles similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Fermer

Adblock détecté

S'il vous plaît envisager de nous soutenir en désactivant votre bloqueur de publicité