Google souligne la faiblesse des questions secrètes

Les questions secrètes visent à apporter une certaine sécurité. Pourtant, une étude de Google révèle les faiblesses de ce dispositif.

Ceux qui ont déjà été confrontés à la perte de leur mot de passe en ligne ont déjà eu à faire aux questions secrètes, des questions/réponses qui permettent en théorie de vérifier votre identité en vous interrogeant sur des informations que vous êtes normalement seul à connaitre.

Une étude de Google révèle les faiblesses de ce dispositif.

Un des problèmes, c’est que les réponses aux questions « Quel était le nom de votre premier professeur ? », « Comment s’appelle votre premier animal de compagnie ? », « Quelle est la couleur de votre voiture ? », « Quel est votre plat préféré ? », « Quel était le nom de jeune fille de votre mère ? », etc., sont des questions auxquelles les réponses sont très facilement trouvables. En effet, il est souvent possible d’obtenir ces réponses par un peu d’ingénierie sociale, notamment en fouillant dans les réseaux sociaux.

Par ailleurs, dans certains cas, il est simplement possible d’utiliser les répondes les plus répandues, comme « pizza » pour le plat préféré.

Il est bien évidemment possible d’améliorer le système est fournissant de fausses réponses. Le problème, c’est qu’il faudra se rappeler les réponses fournies le moment venu.

Il est aussi possible d’utiliser des questions plus compliquées, voire d’en combiner plusieurs. Mais cette approche est contraignante pour l’utilisateur.

En effet, si 79% des internautes répondent correctement à la question « Dans quelle ville êtes-vous né ? » alors que les pirates ne sont que 6,9%, ou que ces mêmes taux sont respectivement de 74% et 14,6% pour la question « Quel est le deuxième prénom de votre père ? », les chances de succès des pirates tombent à 1% si on combine ces deux questions, mais les utilisateurs ne sont aussi plus que 59% à répondre correctement.

En conclusion, Google ne prétend pas qu’il faut supprimer les questions secrètes, mais préconise d’y réfléchir plus sérieusement, que cela soit du côté des sites ou du côté des utilisateurs, notamment pour choisir soigneusement les questions et les réponses associées.

La firme de Mountain View recommande également de ne pas limiter la réinitialisation du mot de passe à cette seule méthode. L’option de l’envoi d’un code de récupération à une adresse e-mail secondaire ou par SMS sont des alternatives.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentDes captures d’écran révèlent la nouvelle appli « Photos » de Google
Article suivantAvec « Brillo », Google aurait l’intention de s’attaquer aux objets connectés

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here