Les utilisateurs de la technologie devraient se voir offrir une assistance et des conseils plus détaillés lors de la création de mots de passe de compte afin de les rendre plus sûrs et plus difficiles à déchiffrer, suggère une étude.

Des recherches menées par l'Université de Plymouth ont révélé que ceux qui reçoivent des conseils de base, y compris des compteurs de mots de passe, étaient jusqu'à 40 % plus susceptibles de sécuriser leurs choix.

Cependant, ceux qui ont reçu des commentaires tels que la probabilité que les pirates informatiques puissent deviner leurs mots de passe - et donc accéder aux informations privées détenues dans leurs comptes - étaient jusqu'à 10 fois plus susceptibles de changer leur choix initial pour quelque chose de plus sûr.

La recherche a été menée par le Centre de sécurité de l'Université, Communications et recherche en réseau (CSCAN), en collaboration avec la Faculté de gestion Desautels de l'Université McGill et le Département d'informatique de l'Université Purdue.

Publié dans Informatique &Sécurité, elle survient à un moment où la menace mondiale pour la cybersécurité continue d'augmenter avec des comptes détenus par des individus et des organisations constamment menacés d'attaque.

Steve Furnell, Professeur de sécurité de l'information et directeur du CSCAN, a déclaré :« Au cours des dernières années, de nombreuses cyberattaques et incidents de sécurité ont démontré que la protection des biens personnels et professionnels n'est plus un devoir facultatif. Pourtant, beaucoup surviennent encore à la suite d'erreurs involontaires telles que la négligence, négligence, et les erreurs humaines. Malgré les progrès de la technologie de sécurité, le maillon le plus faible dans le domaine de la sécurité de l'information réside toujours dans les utilisateurs finaux, il est donc essentiel d'offrir davantage de soutien pour essayer de surmonter ce problème à l'avenir. »

La recherche s'est concentrée sur deux expériences conçues pour étudier comment les variations dans l'utilisation et la rétroaction des compteurs de mots de passe peuvent affecter positivement les choix de mots de passe résultants.

Dans une expérience, 300 utilisateurs créant un compte Internet se sont vu proposer soit aucun, soit une série de conseils, notamment un compteur de mot de passe standard, des emojis ou un message de retour émotionnel. Les résultats ont montré que le nombre de choix notés « faibles » tombait de 75 %, où les utilisateurs n'ont reçu aucune orientation, à environ un tiers lorsqu'on leur montrait des messages plus émotifs.

Pour la seconde, 500 participants aux États-Unis ont reçu des conseils plus spécifiques en matière de sécurité, y compris des suggestions sur le temps qu'il faudrait à un pirate pour déchiffrer son mot de passe. Ces utilisateurs avaient une meilleure compréhension des risques, et créé des mots de passe plus longs et jusqu'à 10 fois plus forts.

Dans le cadre de l'étude, les chercheurs ont également démontré que plusieurs sites de premier plan – dont Facebook, Twitter et Amazon – continuent d'autoriser la pratique des mots de passe faibles, permettant des combinaisons du prénom et du nom de l'utilisateur, une chaîne de nombres tels que "1234567890" et le mot "mot de passe" respectivement.

Le professeur Furnell a ajouté :« Si ce manque de disposition est apparent avec les sites leaders du marché, il est peu probable que les utilisateurs soient mieux servis dans d'autres contextes, et cela explique potentiellement en partie pourquoi les mauvaises pratiques persistent. Une faiblesse courante dans la fourniture de la sécurité est que, bien que des fonctionnalités pertinentes soient présentes et disponibles pour être utilisées, on s'attend souvent à ce que les utilisateurs les utilisent avec peu de conseils initiaux, ou un soutien continu. Il n'est donc guère surprenant de constater que les comportements résultants des utilisateurs sont souvent explicitement précaires.

"Ces résultats fournissent une leçon non seulement pour les mots de passe, mais pour la sécurité de l'utilisateur final en général, car la combinaison d'orientations et d'applications efficaces donne aux utilisateurs la possibilité de comprendre et d'adhérer à la sécurité dès le départ."