Après une violation, les utilisateurs changent rarement leurs mots de passe et lorsqu'ils le font, ils sont souvent plus faibles

Avez-vous été pwned?

En d'autres termes, l'une de vos combinaisons nom d'utilisateur / mot de passe a-t-elle été volée lors de l'une des nombreuses violations de données au cours des dernières années? Il y a des chances, ils l'ont probablement, et il est également probable que vous n'ayez pas pris la précaution appropriée de changer votre mot de passe pour un mot de passe plus sécurisé. Ce n'est pas nécessairement ta faute.

Ce sont les résultats d'une récente étude du CyLab de l'Université Carnegie Mellon. Les résultats ont été présentés la semaine dernière lors de l'atelier 2020 sur la technologie et la protection des consommateurs.

"Dans notre étude, seulement une personne sur trois qui avait des comptes sur des domaines violés a changé de mot de passe", explique Sruti Bhagavatula de CyLab, un doctorant. étudiant à l'École d'Informatique. "Seulement 13% des personnes possédant des comptes sur ces domaines ont changé de mot de passe dans les trois mois suivant l'annonce de la violation."

Beaucoup peuvent trouver ces résultats alarmants, étant donné l'omniprésence et le nombre croissant de violations de données d'entreprise ces dernières années. En janvier 2019, par exemple, une collection de plus de 700 millions d'adresses e-mail avec des mots de passe, dénommée "Collection # 1", avait été distribuée sur un forum de piratage populaire.

Pour parvenir à leurs conclusions, les auteurs de l'étude ont observé les pratiques de sécurité de 249 participants volontaires par le biais de l'Observatoire des comportements de sécurité (SBO), un groupe de participants acceptant de faire observer leurs comportements informatiques quotidiens. Les chercheurs se sont concentrés sur neuf violations et ont observé les comportements des utilisateurs qui se trouvaient dans le SBO au moment de ces violations.

L'une des violations sur lesquelles ils se sont concentrés était la violation de Yahoo survenue en 2017, dans laquelle chaque compte Yahoo – les 3 milliards d'entre eux – a été piraté.

"Nous voulions vérifier s'ils avaient changé leur mot de passe Yahoo après l'une ou l'autre de ses deux annonces de violation", explique Bhagavatula. «Et s'ils ont changé leur mot de passe, à quel point le changement a-t-il été bon?

Alors qu'un utilisateur sur trois touché par la violation a changé de mot de passe, leurs nouveaux mots de passe étaient souvent plus faibles que leurs mots de passe précédents, bien qu'un petit nombre de nouveaux mots de passe soient nettement plus forts que l'original. Pour aggraver les choses, les nouveaux mots de passe des utilisateurs étaient globalement plus similaires aux mots de passe qu'ils utilisent sur d'autres comptes.

«Les notifications de violation ne disent presque jamais aux gens de réinitialiser leurs mots de passe similaires – ou identiques – sur d'autres comptes», explique Lujo Bauer de CyLab, co-auteur du journal et professeur au département de génie électrique et informatique et à l'Institut de recherche sur les logiciels. . "Pourtant, les participants dont nous avons étudié les données possédaient en moyenne 30 autres mots de passe similaires au mot de passe piraté. En moyenne, ceux qui ont changé un mot de passe piraté ont changé moins de trois de ces 30 mots de passe similaires."

Compte tenu de ces résultats, les chercheurs recommandent aux entreprises d'adopter une approche plus directe à l'égard de leurs clients touchés par des violations.

"Pour les personnes concernées, elles doivent forcer la réinitialisation des mots de passe, par exemple, en empêchant le client de se connecter jusqu'à ce qu'il ait changé de mot de passe", explique Bhagavatula. "Les entreprises doivent indiquer clairement que même si les utilisateurs modifient le mot de passe sur leur site, ils sont toujours vulnérables sur d'autres sites si des mots de passe similaires sont utilisés."

Apu Kapadia, professeur agrégé à l'Université de l'Indiana, était un troisième auteur de l'étude.