Une nouvelle étude menée par des universitaires du Security and Privacy Institute (CyLab) de l'Université Carnegie Mellon a révélé que seul un tiers des utilisateurs changent réellement leur mot de passe après une annonce de violation de données.
L'étude, intitulée «(Comment) les gens changent-ils leur mot de passe après une infraction?», N'est pas basée sur les réponses des participants à l'enquête mais sur le trafic réel de leur navigateur. Pour compiler leur étude, les universitaires ont analysé le trafic Web réel collecté par le groupe de recherche opt-in de l'Université Security Behaviour Observatory (SBO) qui a collecté l'historique complet du navigateur de ceux qui se sont inscrits à des fins de recherche universitaire.
L'équipe de recherche a ensuite utilisé les informations collectées sur les ordinateurs personnels de 249 participants entre janvier 2017 et décembre 2018. Cet ensemble de données comprenait non seulement le trafic Web, mais également les mots de passe utilisés pour se connecter aux sites Web et ceux stockés dans les navigateurs des participants.
En analysant ces données, les universitaires ont constaté que seuls 63 des 249 utilisateurs avaient des comptes sur des domaines ayant fait l'objet d'une violation qui avaient annoncé publiquement une violation de données pendant cette période. Selon CyLab, seuls 21 (33%) de ces 63 utilisateurs ont visité les sites piratés afin de changer leurs mots de passe. Pour aggraver les choses, sur ces 21 utilisateurs, seuls 15 ont changé de mot de passe dans les trois mois suivant l'annonce de la violation de données.
Sommaire
Sécurité par mot de passe
Comme le SBO a également capturé les données de mot de passe de l'utilisateur, l'équipe CyLab a pu analyser la complexité des nouveaux mots de passe des utilisateurs.
L'équipe de recherche a révélé que parmi ceux qui ont changé leurs mots de passe, seulement un tiers les a changés en un mot de passe plus fort. Les autres utilisateurs ont créé des mots de passe de force plus faible ou similaire et de nombreuses séquences de caractères réutilisées à partir de leur mot de passe précédent ou ont utilisé des mots de passe similaires à leurs autres comptes en ligne.
Bien que l'étude montre que les utilisateurs ne reçoivent toujours pas la bonne éducation en matière de sécurité par mot de passe, les chercheurs soutiennent que les services piratés sont également à blâmer car ils disent rarement aux utilisateurs de réinitialiser leurs mots de passe similaires ou identiques sur leurs autres comptes.
Si vous vous inquiétez de votre propre sécurité par mot de passe, vous pouvez visiter Ai-je été averti pour voir si l'un de vos comptes en ligne a été impliqué dans une violation de données. Si tel est le cas, vous devez modifier tous ces mots de passe immédiatement et vous assurer que vos nouveaux mots de passe sont à la fois forts et complexes.
Via ZDNet
