Deux tiers des utilisateurs ne modifient pas leur mot de passe même après une violation de données
Les utilisateurs expriment souvent leur mécontentement au lendemain d'une violation de données, et vous pourriez affirmer que cela est parfaitement compréhensible. Après tout, en vous inscrivant à un service, vous confiez vos données au fournisseur, et lorsqu'elles ne sont pas protégées aussi bien qu'elles le devraient, vous avez le droit d'être bouleversé. Il s'avère cependant que bien que de nombreuses personnes soient prêtes à utiliser les réseaux sociaux pour exprimer leur colère contre l'entreprise victime d'une violation, elles ne sont pas toutes prêtes à prendre des mesures simples pour se protéger.
Table of Contents
Seul un tiers des utilisateurs touchés par des violations de données changent de mot de passe
Il existe plusieurs façons de stocker les mots de passe des personnes, et au lendemain d'un incident de sécurité, il est très important d'apprendre quelle méthode de stockage de mot de passe le fournisseur piraté a utilisé. Si les informations d'identification sont stockées correctement (c'est-à-dire hachées et salées avec un algorithme de hachage robuste), les pirates qui les volent auront du mal à les utiliser pour compromettre les comptes des gens. Si, en revanche, ils sont enregistrés en texte clair, les risques sont beaucoup plus élevés.
Quel que soit le cas, les utilisateurs sont toujours invités à changer leurs mots de passe par trop de prudence. Une étude menée par des chercheurs de l'Université Carnegie Melon montre cependant que la plupart des gens ne s'en soucient pas.
Deux cent quarante-neuf personnes ont accepté de participer à l'enquête, qui a montré que seul un utilisateur sur trois d'un service violé est prêt à changer de mot de passe après avoir pris connaissance de l'incident. Les participants avaient un logiciel spécial sur leurs ordinateurs personnels qui enregistrait leur historique de navigation et les chaînes qu'ils saisissaient dans les champs HTML des sites Web pour la période entre janvier 2017 et décembre 2018. Soixante-trois utilisateurs avaient des comptes sur les sites Web et les applications impliqués dans les neuf plus grands des violations de données annoncées au cours de cette période, et seulement 21 d'entre elles ont changé de mot de passe après avoir été informées de l'incident.
Il faut dire qu'il s'agit d'un sous-ensemble relativement restreint d'utilisateurs, et tirer des conclusions générales sur la base de ces seules données n'est probablement pas la meilleure idée. Cependant, les chiffres sont inquiétants, surtout quand vous voyez comment les gens agissent lorsqu'ils décident de changer leur mot de passe.
Les gens ne peuvent toujours pas créer de mots de passe forts et uniques pour leurs comptes
Même ceux qui ont changé leurs mots de passe compromis n'étaient pas trop pressés de le faire. Sur les 21 utilisateurs, seulement 15 ont échangé leurs mots de passe dans les trois mois suivant l'annonce de la violation de données. C'est loin d'être le seul problème.
Comme vous l'avez peut-être deviné, l'enquête a mis en évidence le problème de la réutilisation des mots de passe pour la énième fois. Les chercheurs ont estimé que les 21 utilisateurs qui ont changé leurs mots de passe sur le domaine violé avaient en moyenne 30 comptes avec des mots de passe similaires. Seulement 14 personnes ont également décidé de protéger certains d'entre eux et, en moyenne, ils n'ont changé que quatre mots de passe supplémentaires. De plus, les nouveaux mots de passe n'étaient pas vraiment nouveaux. Près de 70% des mots de passe nouvellement attribués étaient aussi forts ou plus faibles que les mots d'origine, et la plupart d'entre eux étaient dérivés des anciens.
Qui est à blâmer?
Il est assez clair que la situation n'est pas exactement idéale. Les gens ne comprennent pas les risques associés aux mots de passe compromis. Apparemment, ils ne savent pas non plus à quel point les attaques de bourrage d'informations d'identification peuvent être dangereuses, et ils semblent trouver rien de mal à utiliser les mêmes mots de passe pour des dizaines de comptes différents.
Il serait facile de blâmer les utilisateurs de la même manière qu'ils blâment les fournisseurs de services chaque fois qu'une violation de données se produit, mais la vérité est que les gens ne sont tout simplement pas suffisamment éduqués pour savoir à quel niveau de risque ils s'exposent avec leur utilisation continue de compromis. ou des mots de passe faibles. Les fournisseurs de services doivent informer les utilisateurs de ce à quoi ils font face et lorsqu'une violation se produit, ils doivent être aussi transparents que possible sur les conséquences potentielles.
Beaucoup de gens pensent que la seule façon de résoudre le problème des mots de passe serait de le résoudre complètement et de trouver un nouveau mécanisme d'authentification pour le remplacer, mais il est clair que nous sommes encore loin de le faire. Malgré tous ses inconvénients, pour l'instant, nous sommes coincés avec le mot de passe, et nous devons trouver un moyen de l'utiliser au mieux de notre avantage.
