Les mots de passe complexes ne sont pas toujours les meilleurs

Les recherches de l’Université James Cook montrent que les restrictions de mot de passe de plus en plus complexes sur les sites Web laissent souvent les utilisateurs frustrés et entraînent une mauvaise sécurité des mots de passe.

Le professeur agrégé Roberto Dillon a étudié comment les utilisateurs réagissent aux exigences de plus en plus complexes des mots de passe et si ces règles compromettent la sécurité des mots de passe.

«Nos résultats confirment que plus les contraintes liées à la création des mots de passe sont fortes, plus les utilisateurs se sentent en sécurité avec leurs informations», a-t-il déclaré. « Cependant, les résultats montrent qu’un grand nombre de restrictions peuvent frustrer les utilisateurs. »

Le Dr Dillon a déclaré que cette frustration a conduit 75% des participants à utiliser des stratégies pour se souvenir de leurs mots de passe, y compris des stratégies qui compromettent leur sécurité.

« La stratégie la plus populaire consistait à utiliser le même mot de passe pour plusieurs sites », a-t-il déclaré.

Le Dr Dillon et son équipe ont mené une enquête où les utilisateurs ont été invités à créer un mot de passe suite à un nombre croissant de restrictions, allant de «les mots de passe doivent contenir au moins huit caractères» à «les mots de passe doivent être différents des cinq derniers mots de passe».

On a également demandé aux participants s’ils utilisaient des stratégies pour se souvenir de leurs mots de passe, ainsi que les situations dans lesquelles ils seraient tentés d’utiliser ces stratégies.

«Les sites Web exigent souvent des mots de passe qui incluent une combinaison de caractères spéciaux, de chiffres, de lettres majuscules et minuscules, et plus encore», a-t-il déclaré. « Cela rend les mots de passe moins susceptibles d’être compromis par les pirates, mais il est plus difficile pour les utilisateurs d’inventer un mot de passe et de s’en souvenir. »

Bien que des mesures telles que les gestionnaires de mots de passe et les protocoles d’authentification à deux facteurs offrent des solutions de gestion des mots de passe et de sécurisation de la confidentialité, le Dr Dillon a déclaré qu’ils souffraient toujours de problèmes d’utilisabilité et démontraient des inconvénients pour les utilisateurs.

Il suggère qu’une meilleure approche consiste à demander aux utilisateurs de créer une phrase de mot de passe longue mais significative.

« C’est facile à retenir, mais suffisamment long pour empêcher les attaques de piratage par force brute », a-t-il déclaré. « Dans le même temps, les fournisseurs devraient éviter d’ajouter plusieurs restrictions car cela rend plus probable pour les utilisateurs de recourir à des solutions de contournement qui compromettent la sécurité. »