La création et la décoration de mots de passe sont des tâches ennuyeuses, mais il est important d’y faire attention, sinon vous risquez d’être confronté à des ennuis plus graves. Beaucoup de gens ne s’en rendent pas compte : une étude du Carnegie Mellon University Security and Privacy Institute (CyLab) montre que seul un tiers des utilisateurs changent de mot de passe après une fuite de données.
L’enquête était basée sur une analyse du trafic (PDF). Entre janvier 2017 et décembre 2018, les chercheurs ont recueilli des historiques de navigation et des données connexes auprès de 249 personnes qui ont accepté de partager ces informations.
Sur les 249 utilisateurs, 63 se sont inscrits à des services qui ont admis avoir des fuites de données. Lorsqu’une entreprise reconnaît ce type de problème, elle recommande ou exige généralement que l’utilisateur change le mot de passe de son compte dès que possible. Mais les chercheurs du CyLab révèlent que seuls 21 des 63 utilisateurs (33%) ont accédé à des pages pour changer leur mot de passe.
Pour aggraver les choses, sur les 21 utilisateurs qui ont changé de mot de passe, six l’ont fait plus de trois mois après que le service a révélé la violation des données. En outre, seuls neuf d’entre eux ont opté pour une combinaison forte… L’enquête a également évalué les données relatives aux mots de passe. Les autres ont préféré créer des combinaisons similaires à celles ci-dessus ou des mots de passe utilisés dans d’autres services.
63 personnes est un nombre trop faible pour une étude de ce type, il n’est donc pas possible d’affirmer avec précision que les mots de passe divulgués sont même négligés par 33% des utilisateurs exposés aux fuites de données. Nous devons également tenir compte de la possibilité que de nombreux utilisateurs n’aient pas changé leur mot de passe simplement parce qu’ils n’ont plus accès au service concerné.
En tout cas, les recherches du CyLab sont valables pour renforcer que le manque de soin apporté aux mots de passe reste un problème de sécurité majeur.
La création de combinaisons de chiffres, de lettres majuscules et minuscules et de caractères spéciaux (tels que @ et ), ainsi que l’interdiction d’utiliser le même mot de passe dans plus d’un service figurent parmi les meilleures pratiques. L’utilisation d’un gestionnaire de mots de passe est une bonne option pour vous permettre de trouver une solution pratique à cette tâche.
Autre consigne de sécurité importante : chaque fois que possible, activez l’authentification sur deux facteurs dans les services que vous utilisez.