La plupart des victimes choisissent un mot de passe similaire ou plus faible après une violation de données

Des chercheurs de l’Université Carnegie Mellon ont publié un article sur le comportement des gens après que leurs mots de passe ont été compromis dans une violation de données, et les résultats sont aussi mauvais qu’on peut l’imaginer.
 
Une habitude douloureuse, en particulier pour les entreprises de cybersécurité, est la négligence inégalée des gens en matière de gestion des mots de passe. Même une solution de sécurité robuste peut être rendue inadéquate par un utilisateur s’il décide de continuer à utiliser un seul mot de passe commun à tous ses comptes en ligne.
 
L’étude a examiné l’efficacité des notifications de violation de mot de passe et des pratiques appliquées après une violation. La différence la plus significative est qu’il ne s’agit pas d’une enquête, ce qui signifie que les données devraient être plus pertinentes et précises. Les informations de 249 participants ont été utilisées pour vérifier comment les gens ont changé leur mot de passe suite à une violation de données.
 
Sur 249 participants, 63 avaient des comptes sur des domaines violés. Seuls 33% des 63 ont changé de mot de passe et seulement 13% l’ont fait dans les trois mois suivant l’annonce. De plus, la plupart d’entre eux utilisaient des mots de passe similaires, voire même plus faibles.
 
21 des 63 personnes concernées ont changé de mot de passe immédiatement après l’annonce de la violation, mais la qualité des nouveaux mots de passe laissait beaucoup à désirer. Les mêmes personnes avaient également, en moyenne, 30 autres mots de passe similaires au mot de passe compromis.
 
En deux ans, 223 des 249 participants ont changé de mot de passe, et 70% de ces changements de mot de passe ont abouti à des mots de passe plus faibles ou de faiblesse égale.
 

“Même lorsqu’ils ont changé leur mot de passe sur un domaine piraté, la plupart des participants les ont changés en mots de passe plus faibles ou tout aussi faibles”, indique l’étude. “Et leurs nouveaux mots de passe sur les domaines violés étaient en moyenne plus similaires à leurs mots de passe restants”, indiquent les chercheurs.

L’étude conclut que les notifications de violation de mot de passe échouent considérablement à influencer les utilisateurs touchés. Elles ne semblent pas inciter suffisamment de gens à changer de mots de passe, et ceux qui le font choisissent des mots de passe très similaires. Les responsables de service informatique devraient inciter les entreprises à utiliser l’authentification multifactorielle et à obscurcir les mots de passe par hachage et salage (hash & salt) afin d’éviter le bourrage d’informations d’identification et les attaques par tables de données de cryptographie (rainbow table) sur du texte en clair.