Un projet open source publié par Apple devrait aider les gestionnaires de mots de passe à identifier rapidement les exigences du site, telles que les exigences en matière de caractères minimums et de caractères spéciaux ou non. Les informations publiées par l’entreprise sont les mêmes que celles utilisées dans le porte-clés iCloud, la fonction de l’iPhone et du Mac permettant de stocker les mots de passe et les données des cartes de crédit.
Disponible sur GitHub, le projet répond aux exigences que des sites tels que iCloud, PayPal, AliExpress et Ubisoft fixent pour la création de mots de passe. Il indique également les pages qui partagent des systèmes de connexion ainsi que les adresses des zones de récupération de mots de passe. L’objectif est d’éviter qu’un manque de normes entre les gestionnaires et les sites web n’augmente la difficulté d’enregistrer un mot de passe fort.
Apple affirme que l’incohérence entre les gestionnaires et les sites conduit les utilisateurs à choisir des termes plus simples qui peuvent être facilement découverts par d’autres. Chaque fois qu’un gestionnaire de mots de passe génère un mot de passe qui n’est pas vraiment compatible avec un site web, une personne a non seulement une mauvaise expérience, mais une raison d’être tentée de créer son propre mot de passe ?
L’entreprise demande la collaboration des gestionnaires pour inclure les exigences d’un plus grand nombre de sites. Si elle est adoptée par les plateformes, l’initiative devrait permettre de créer des mots de passe solides et de les modifier en cas de fuites éventuelles. Les recherches de l’université Carnegie Mellon indiquent que cela ne semble pas être une pratique courante aujourd’hui.
À partir de l’historique de navigation de 249 volontaires, les chercheurs ont identifié ceux qui avaient des comptes sur des sites qui signalaient des fuites de données. Parmi les 63 personnes touchées par les fuites, seules 21 ont accédé à des pages pour changer de mot de passe. Parmi eux, six ont effectué le changement au moins trois mois après l’incident.
Avec un petit nombre de cas analysés, l’enquête n’a pas permis de déterminer si les utilisateurs qui n’ont pas changé leur mot de passe gardaient toujours leur compte actif. Néanmoins, l’étude rappelle l’importance de mettre à jour rapidement les mots de passe en cas de violation et, si possible, de permettre une vérification en deux étapes.
