Close Menu

    Pourquoi vous avez répondu à la mauvaise question de sécurité du mot de passe

    Louise GoossensBy 9 Mins Read Home
    security-questions
    partners

    Pourquoi vous avez répondu à la mauvaise question de sécurité du mot de passe


    Lorsque nous nous inscrivons à un nouveau service en ligne, nous sommes toujours invités à créer un mot de passe pour sécuriser le nouveau compte. Si vous êtes sage, vous pouvez choisir une longue chaîne complètement aléatoire ou laisser une application de gestion de mot de passe faire le travail pour vous. Vient ensuite la question de la sécurité.

    Ces questions portent généralement sur le nom de jeune fille de votre mère, le nom de votre école primaire, le nom de votre premier animal de compagnie, etc. Conçues pour protéger nos comptes contre les pirates potentiels, les questions de sécurité doivent servir de ligne de défense supplémentaire.

    Comment répondez-vous à ces questions ? Vous dites la vérité, toute la vérité, rien que la vérité ? Malheureusement, votre honnêteté peut provoquer des fissures inattendues dans votre armure en ligne.Voyons comment tu vas devrait Répondre à des questions de sécurité.

    Les indices de mot de passe compromettent votre sécurité

    Les indices de mot de passe sont sans aucun doute utiles. Si vous oubliez votre mot de passe Windows, une invite utile apparaîtra. C’est juste après une tentative ratée. Dans le cas des mots de passe Windows, votre invite devrait vous rafraîchir la mémoire. Il vous rappellera d’utiliser l’invite sélectionnée, afin que vous puissiez rester aussi mystérieux ou aussi ouvert que vous le souhaitez.

    Les problèmes de sécurité sont différents. Nous sommes souvent confrontés à des combinaisons familières de ce qui précède et sommes disposés à fournir des réponses précises. Les problèmes de sécurité apparaissent comme une ligne de défense supplémentaire. Cependant, vous devriez considérer la facilité relative d’obtenir des réponses dans la société hyperconnectée d’aujourd’hui.

    Faire une vidéo du jour

    Les chercheurs en sécurité considèrent souvent les problèmes de sécurité comme ternes. Peut-on faire confiance à une mesure de sécurité dont la réponse est facile à découvrir ?

    Utilisez des réponses puissantes et uniques aux questions de sécurité

    Les attaquants exploitent des questions simples – couleur, nom de jeune fille, premier animal de compagnie – car elles sont facilement disponibles via les comptes de médias sociaux. Pire encore, si votre compte utilise des questions et des réponses extrêmement spécifiques, les attaquants peuvent éliminer d’autres mots de passe potentiels.

    Par exemple, si la question de sécurité est « Où avez-vous acheté votre première voiture ? », un attaquant peut immédiatement ignorer d’autres réponses plus simples. Si la question est « Comment s’appelle votre ville natale ? », il est facile pour un attaquant de scanner votre compte Facebook ou LinkedIn pour révéler l’information (si elle est répertoriée, bien sûr).

    Je crois que vous avez trouvé la solution évidente à ce problème de sécurité. Si les attaquants recherchent des réponses directement pertinentes pour vous, pourquoi ne pas utiliser quelque chose de complètement différent ?

    • Quel est le nom de jeune fille de ta mère? fa1c0npunc4
    • Où avez-vous rencontré votre épouse? b1cycl3tyr3
    • Quel était le nom de votre premier animal de compagnie? n0str0d4mu5

    Eh bien, ce sont des exemples horribles, mais vous voyez l’idée. Si la réponse est a) obscure et b) utilise des caractères aléatoires, vous placerez immédiatement la barre de sécurité de votre compte un peu plus haut.

    Randomisez vos questions de sécurité pour améliorer votre sécurité

    La randomisation ou l’utilisation de réponses uniques pour les questions de sécurité de votre compte améliorera votre sécurité globale. Cependant, les questions et réponses de sécurité en elles-mêmes ne sont généralement pas considérées comme une méthode de sécurité. Selon le National Institute of Standards and Technology (NIST), les questions de sécurité ne doivent plus être utilisées comme méthode d’authentification de compte. Comme expliqué dans la publication spéciale 800-63B du NIST, le problème de sécurité est équivalent à l’authentification de compte, ce qui le rend plus facile à deviner et à utiliser que les méthodes d’authentification conventionnelles (c’est-à-dire les mots de passe, la vérification à deux facteurs/2 étapes), ce qui compromet l’objectif de le processus.

    Une étude Google de 2015 sur les questions et réponses de sécurité a analysé les questions de sécurité secrètes données par leur large base d’utilisateurs, révélant que les réponses de sécurité sont une forme de sécurité vulnérable, car les utilisateurs essaient souvent de les durcir de manière totalement prévisible.

    Notre analyse a confirmé que les questions secrètes offrent souvent un niveau de sécurité bien inférieur à un mot de passe choisi par l’utilisateur. Il s’est avéré être encore plus faible que l’indicateur de substitution suggéré par la répartition réelle des noms de famille dans la population.

    Étonnamment, nous avons constaté qu’une raison importante de cette insécurité est que les utilisateurs omettent souvent de répondre honnêtement. Une enquête auprès des utilisateurs que nous avons menée a révélé qu’un grand pourcentage (37 %) d’utilisateurs qui ont admis avoir fourni de fausses réponses l’ont fait pour les rendre « plus difficiles à deviner », bien que dans l’ensemble, le comportement ait eu l’effet inverse, car les gens « renforceront » leurs réponses. . Répondez de manière prévisible.

    Pourquoi essayons-nous de mentir et finissons par faire si mal ? Comme vous pouvez le voir dans le tableau ci-dessous, la plupart des répondants ont fourni la mauvaise réponse, pensant que cela améliorerait leur sécurité. Nous pouvons alors supposer que le public (même s’il ne s’agit que d’un petit aperçu de la vaste base de données) comprend que les problèmes de sécurité peuvent et seront utilisés contre lui.

    L’équipe de recherche de Google a finalement conclu que les problèmes de sécurité sont soit assez sûrs, soit faciles à retenir, mais les combinaisons en or sont rares. Ainsi, « alors que Google préfère la récupération des SMS et des e-mails, aucun des deux mécanismes n’est parfait ».

    Questions de sécurité à choix multiples United Airlines

    Il est facile d’avoir une discussion sur la façon dont les problèmes de sécurité peuvent être une méthode non sécurisée d’authentification de compte. C’est une chose de fournir des questions mal formulées ou faciles à deviner, mais c’en est une autre de forcer les utilisateurs à choisir des réponses dans une liste.

    En 2016, United Airlines a introduit un nouveau package de sécurité mis à jour pour ses comptes clients. Les systèmes plus anciens qui reposaient sur des codes PIN à 4 chiffres étaient jugés inadaptés aux comptes pouvant contenir des centaines de milliers de dollars en miles de fidélisation. Le système mis à jour exige que les utilisateurs saisissent un mot de passe unique et répondent à cinq questions de sécurité personnelles.

    Ça sonne bien, non ? Sauf que United Airlines demande à ses clients de choisir un mot de passe fort et unique et d’utiliser un ensemble prédéterminé de réponses pour répondre à leurs questions. C’est vrai : la réponse prédéterminée. Par exemple, si vous choisissez la question « quel mois est l’anniversaire de votre meilleur ami », votre agresseur potentiel – vous l’avez deviné – n’a que 12 réponses à résoudre. les temps difficiles.

    La justification de United est que « la plupart des problèmes de sécurité auxquels nos clients sont confrontés peuvent être attribués à des virus informatiques qui enregistrent la frappe, et l’utilisation de réponses prédéfinies empêche ce type d’intrusion ».

    Le chercheur en sécurité Brian Krebs s’est entretenu directement avec Benjamin Vaughn, directeur du renseignement de sécurité informatique chez United Airlines. Vaughan a déclaré que la société « randomise les questions pour confondre les robots cherchant à soumettre automatiquement des réponses, et les questions de sécurité auxquelles les réponses sont incorrectes seront » verrouillées « et ne seront plus jamais posées ».

    Entre autres choses, Vaughn a confirmé à Krebs que plusieurs tentatives infructueuses entraîneraient le verrouillage du compte. Par conséquent, les utilisateurs doivent contacter directement United Airlines pour déverrouiller leurs comptes.

    Luttez contre la fatigue liée à la sécurité et améliorez la sécurité des comptes

    United Airlines a trouvé une faille de sécurité, mais sa réponse n’a pas tout à fait résolu le problème. Comme nous l’avons vu, le seul moyen vraiment sûr de répondre à une question de sécurité est, comme un mot de passe, de fournir quelque chose de vraiment unique et aléatoire. C’est dans l’espoir que les pirates potentiels seront frustrés par la complexité et passeront au compte suivant.

    Cependant, la fatigue liée à la sécurité est un problème très réel, selon Brian Stanton, psychologue cognitif et co-auteur de la fatigue liée à la sécurité.

    La constatation que le public souffre de fatigue liée à la sécurité est importante car elle a des répercussions sur le lieu de travail et la vie quotidienne des gens. Ceci est important car de nombreuses personnes effectuent des opérations bancaires en ligne et des informations sur les soins de santé et d’autres informations précieuses sont transférées sur Internet.

    Si les gens ne peuvent pas utiliser la sécurité, ils ne l’utiliseront pas, alors nous et notre pays ne serons pas en sécurité.

    Les utilisateurs se fatiguent. Les failles de sécurité et les réinitialisations forcées de mots de passe sont désormais si courantes que de nombreux utilisateurs ignorent simplement les alertes. Malheureusement, cette fatigue peut entraîner des comportements à risque au domicile et sur le lieu de travail de l’utilisateur. Améliorer votre sécurité est aussi simple que d’apporter quelques modifications simples à votre comportement :

    • automatisation: Contrôlez votre sécurité et automatisez les analyses, les sauvegardes, etc.
    • Gestion des mots de passe : Des solutions de gestion des mots de passe sont disponibles pour une variété d’appareils, et nombre d’entre elles peuvent également répondre à vos problèmes de sécurité.
    • prendre possession: La sécurité de vos données est votre responsabilité. Nous fondons de grands espoirs sur les institutions qui détiennent nos données, et à juste titre. Cela dit, si vous ne mettez pas en place de mesures de sécurité strictes dans votre maison, vous partagez une partie de la responsabilité.

    Actuellement, les questions et réponses de sécurité ne seront pas disponibles partout. Ils deviennent moins populaires et nous avons d’autres méthodes de vérification et d’authentification de compte qui peuvent vous aider. Néanmoins, lorsque vous avez une question de sécurité pour protéger votre compte, assurez-vous de masquer vos réponses et de rendre difficile le vol de vos données par les attaquants. Assurez-vous simplement de vous souvenir de la réponse vous-même !

    A propos de l’auteur

    Share.

    Related Posts

    Add A Comment
    Leave A Reply