UX UI a écrit un chouette article relatant son expérience d’utilisateur et la pseudo sécurité imposée sur certains sites :
Chez Verspieren, le mot de passe doit impérativement être… une suite de 4 chiffres. Je table cette fois sur un (très) grand nombre de dates de naissance et de codes de carte bleue. […]
Verspieren est une mutuelle (entre autre). On trouve ainsi sur le site différentes données plus ou moins intéressantes : le nom du client, son adresse, son numéro de téléphone, son e-mail, son numéro de sécurité sociale, ses coordonnées bancaires, ses remboursements, etc.
Quatre chiffres pour protéger ce genre de choses ? 10000 possibilités, est-ce vraiment sérieux ?
Je me suis fait le même genre de remarque cette semaine en m’inscrivant sur MailChimp. Une fois mon inscription validée, la première chose sur laquelle je tombe, c’est cet écran m’invitant à choisir une question de sécurité, et à indiquer sa réponse.
Ça part d’un bon sentiment, mais les questions sont en général tellement bateau qu’il y a de fortes chances pour que je ne sois pas le seul à en connaître la réponse. Ça m’inquiète surtout parce que c’est une technique de sécurité qu’il me semble aujourd’hui très facile à détourner. Il y a 10 ans déjà, alors que j’étais encore adolescent et que j’avais un compte MSN, on s’amusait à se piquer les comptes les uns des autres simplement en répondant à cette question. Une simple recherche sur Google permets d’en apprendre tout autant sur ce genre de détournements.
Ces questions de sécurité me font toujours penser à cette BD de XKCD datant d’il y a quelques mois.
Après 20 ans d’effort, nous avons brillamment réussi à entraîner tout le monde à utiliser des mots de passe qui sont difficiles à retenir pour les humains, mais faciles à deviner pour des ordinateurs.
charleslp, le
Merci pour le lien et le commentaire !
Au sujet des questions bidons, le site d’Ameli dont je parlais dans ma première note est intéressant : http://uxui.fr/2011/06/securite-et-autres-ecueils-sur-ameli-fr
Nom de jeune fille de votre mère, prénom de votre premier enfant, prénom du père…
J’avais vu passer le strip d’XKCD, mais je me demande : 4 mots, en bas de casse, est-ce que ça ne peut pas être trouvé facilement ? Les scripts façon « brute force » n’ont-ils pas la possibilité de repérer ce genre de choses ? Je ne maîtrise pas le sujet, je dis peut-être des âneries.
Au delà de ça, le plus pénible, c’est quand même la limitation imposée par les sites. Les chiffres uniquement c’est un peu extrême évidemment, mais il y a plusieurs sites qui empêchent l’utilisation de caractères spéciaux.
Bartdude, le
charleslp > c’est ce qui est exposé dans le dessin également, le nombre de possibilités augmente exponentiellement au fur et à mesure que le nombre de caractères augmente, rendant ainsi une attaque bruteforce bien plus longue (voire impossible…)
Pour revenir sur les questions secrètes et leurs failles, c’est ce qui avait permis à certains de hacker des comptes de cadres de twitter je pense, via le hack de leur boite yahoo elle même protégée par question secrète… bref c’est une m****
Perso je suis assez fan de la désactivation en cas d’erreurs multiples tout en forcant quelques règles pour le mot de passe, comme inclure obligatoirement un caractère spécial, ce qui augemente considérablement le nombre de possibilités.
En terme de usability, j’ai lu récemment je ne sais plus ou un assez bon conseil : rappeler lors de la phase de login les règles imposées lors de la création du mot de passe. Nous avons tous ou presque un « set standard » de passwords, et si nous sommes obligés d’en faire une nième variation à cause d’une règle X ou Y, il est pratique que celle-ci soit rappelée…
Bref, vaste question :-)
charleslp, le
Ce que je veux dire, c’est que dans l’exemple il est question de 4 mots existants. Est-ce qu’un script d’attaque type bruteforce peut détecter ce genre de chose ? Si c’est le cas, il est beaucoup plus simple de trouver « chambre paquebot enclume » que « fdjkfls vnccbxc reizour ».