Un tiers seulement des victimes de violation de données changent de mot de passe, selon une nouvelle étude

L'inquiétude et le stress constants ne sont pas bons pour le corps, l'esprit et l'âme. Cela étant dit, certaines personnes peuvent être trop détendues sur les mauvaises choses. La sécurité par mot de passe en fait partie. Même lorsque les mots de passe sont violés, tout le monde ne se précipite pas pour résoudre le problème. Il va sans dire que si les gens ne changent pas de mot de passe après des violations de données, leur sécurité virtuelle peut être mise en péril et elle peut être mise en péril de différentes manières par de nombreuses parties malveillantes. Pour ajouter l'insulte aux blessures, il y a encore beaucoup de gens qui réutilisent les mots de passe sur toutes les plates-formes, ce qui les expose à un risque encore plus grand. J'espère qu'au moment où vous aurez fini de lire ce rapport, nous vous aurons convaincu que chaque mot de passe doit être unique et que changer les mots de passe après des violations de données n'est pas négociable.

Toutes les victimes de violations de données ne changent pas de mot de passe

Des chercheurs de l'Université Carnegie Mellon et de l'Université de l'Indiana à Bloomington ont mené une étude à laquelle 249 personnes ont participé. Ils ont examiné combien de ces participants avaient des comptes sur 9 sites Web différents (yahoo.com, mufitnesspal.com, chegg.com, disqus.com, cashcrate.com, flvs.net, ancestry.com, Imgur.com et deloitte.com ), qui ont tous subi des violations de données affectant les mots de passe entre 2017 et 2018. 150 millions de mots de passe ont été divulgués lors de la violation de données MyFitnessPal rien qu'en 2018 , et Chegg a fait face à trois violations de données au cours des trois dernières années. Bien que les services offerts par ces plates-formes soient approuvés et appréciés par des centaines de millions de personnes dans le monde, même des fournisseurs de services réputés ne peuvent pas toujours empêcher les violations de données. Idéalement, les violations sont découvertes immédiatement et les victimes en sont averties afin que des mesures de sécurité appropriées puissent être prises. Malheureusement, dans certains cas, les violations mettent des mois, voire des années, à être découvertes. Et parfois, les fournisseurs de services ne signalent pas les violations à temps malgré la connaissance des incidents.

L'étude a révélé que sur 63 participants qui avaient des comptes sur les sites Web répertoriés, seuls 21 avaient apporté des modifications. Cela signifie que les deux tiers des participants n'ont pas du tout changé de mot de passe. La violation de données Yahoo 2017 est, de loin, la plus fréquemment signalée sur les neuf en raison de l' historique de l'entreprise avec des violations de données majeures , et les victimes ont été invitées à changer de mot de passe individuellement. Cependant, alors que 49 participants avaient des comptes Yahoo, seuls 18 d'entre eux ont changé de mot de passe. C'est choquant, mais cela illustre parfaitement à quel point les gens sont imprudents en matière de sécurité des mots de passe. Bien sûr, tout le monde ne comprend pas ce qu'est vraiment un mot de passe. Après tout, ce n'est qu'une chaîne arbitraire de caractères aléatoires. En outre, les gens supposent souvent que rien de mal ne leur arrivera ou que les cybercriminels ne seront certainement pas intéressés par leurs comptes. La négligence, la paresse et le manque de connaissances conduisent souvent à de mauvaises habitudes de mot de passe.

Les gens ne parviennent pas à remplacer les mots de passe violés par des combinaisons fortes

Même lorsque les gens changent rapidement de mot de passe après des violations de données, ils ne suivent pas toujours les directives de création de mots de passe forts. Les recherches de l'Université Carnegie Mellon et de l'Université de l'Indiana à Bloomington ont vérifié les mots de passe que 21 participants avaient modifiés. Seuls 9 d'entre eux ont réussi à créer des combinaisons plus fortes, tandis que 12 ont conservé leurs mots de passe au même niveau de force ou même les ont affaiblis. 30 de leurs mots de passe étaient très similaires à ceux qui avaient été violés et ont dû être modifiés. L'étude a également révélé que la réutilisation des mots de passe était généralisée. Au total, 3041 changements de mot de passe ont été observés au cours de l'étude, et 70% de ces changements n'ont fait aucune différence dans l'amélioration des mots de passe ou ont même rendu les mots de passe plus faibles.

Il existe plusieurs raisons hypothétiques pour lesquelles les gens ne sont pas plus attentifs à apporter des changements. Tout d'abord, ils peuvent ne pas comprendre à quel point les mots de passe sont souhaitables parmi les cybercriminels, et ils peuvent donc choisir des mots de passe de même force ou plus faibles simplement parce qu'ils ne pensent pas que quiconque serait intéressé. Deuxièmement, ils pourraient également ne pas comprendre à quel point il est facile pour les cybercriminels de briser, de deviner et de forcer les mots de passe avec la nouvelle technologie. Enfin, la fatigue des mots de passe est une réalité et les gens ne savent souvent pas comment les changer ou quelles combinaisons sont considérées comme fortes. Cela est dû au manque de connaissances de base.

Qu'est-ce qu'un mot de passe fort?

Nous avons répondu à cette question plus en détail dans les rapports précédents, mais voici les exigences de base d'un mot de passe fort:

  • Le mot de passe DOIT comporter au moins 12 à 14 caractères. Plus le mot de passe est long, plus il est fort, mais il doit également répondre à d'autres exigences. Si un service autorise l'utilisation d'un nombre limité de caractères (par exemple, six), vous devez utiliser la longueur maximale.
  • La combinaison NE DOIT PAS inclure des mots, des noms, des lieux, des dates mémorables ou des caractères spécifiques qui semblent cacher des mots devinables (par exemple, Pa $$ w0rd ).
  • Le mot de passe DOIT contenir des lettres (majuscules et minuscules), des chiffres et des caractères spéciaux si cela est possible.
  • Le mot de passe NE DOIT PAS être répété et recyclé. Bien qu'il puisse être facile de créer un mot de passe fort pour tous les comptes, rappelez-vous que si un compte est violé, tous les autres deviennent également accessibles avec le même mot de passe! L'utilisation de légères modifications du même mot de passe (par exemple, Mot de passe et Mot de passe 123 ) n'est pas non plus sûre.
  • N'utilisez PAS de mots de passe par défaut. Si vous achetez un nouveau logiciel ou matériel, remplacez toujours la valeur par défaut par une combinaison forte.

Le problème avec les mots de passe forts est qu'ils peuvent être difficiles à mémoriser, surtout si vous avez dix, vingt ou peut-être même une centaine de mots de passe pour tous vos comptes bancaires, réseaux sociaux, achats, travail, paiement de factures, e-mails et autres comptes . Si vous avez un super cerveau capable de mémoriser facilement des combinaisons complexes, tout va bien. Cependant, si vous êtes un simple mortel comme la plupart d'entre nous, vous pourriez avoir besoin d'aide pour gérer tous les mots de passe complexes que vous créez. C'est là qu'un gestionnaire de mots de passe de confiance est utile. Cyclonis Password Manager est très facile à utiliser, il peut générer des mots de passe pour vous, il peut vous aider à changer les mots de passe après des violations de données, il peut faciliter la connexion et il peut également ajouter une protection précieuse. S'il s'agit de la dernière étape vers la sécurité totale des mots de passe, n'hésitez pas à essayer l'essai gratuit de 30 jours .

September 1, 2020

Laisser une Réponse