Des compteurs de mots de passe sont fréquemment mis à disposition pour aider les utilisateurs à sécuriser leurs données personnelles contre les menaces posées par les cybercriminels.

Cependant, les conseils « incohérents et trompeurs » offerts sur certains des sites Web les plus populaires au monde pourraient en fait faire plus de mal que de bien, selon de nouvelles recherches.

Une étude de l'Université de Plymouth a évalué l'efficacité de 16 compteurs de mots de passe que les gens sont susceptibles d'utiliser ou de rencontrer régulièrement.

L'objectif principal était les sites Web dédiés aux compteurs de mots de passe, mais l'étude a également cherché à évaluer ceux intégrés dans certains services en ligne courants (y compris Dropbox et Reddit) et ceux trouvés en standard sur certains de nos appareils.

Publié dans Fraude informatique et sécurité , la recherche indique qu'il existe un niveau clair de variation dans les conseils offerts entre les différents sites Web.

Et tandis que certains compteurs orientent efficacement les utilisateurs vers des mots de passe de compte plus sécurisés, certains ne les récupéreront pas lorsqu'ils essaieront d'utiliser 'abc123', 'qwertyuiop' et 'iloveyou' - tous répertoriés cette semaine parmi les pires mots de passe de 2019.

L'étude a été menée par Steve Furnell, Professeur de Sécurité de l'Information et Responsable du Centre de Sécurité de l'Université, Communications et recherche en réseau.

Il a précédemment suggéré que les géants mondiaux de l'informatique, notamment Amazon et LinkedIn, pourraient faire beaucoup plus pour sensibiliser le public à la nécessité de meilleures pratiques en matière de mots de passe.

Il a également montré qu'en l'espace d'une décennie, la plupart des dix premiers sites Web anglophones n'avaient pas étendu les conseils sur les mots de passe qu'ils offrent aux consommateurs dans un contexte de menace croissante de cyberattaques mondiales.

Commentant les dernières recherches, Le professeur Furnell a déclaré :« Au cours de la période des fêtes, des centaines de millions de personnes recevront des cadeaux technologiques ou utiliseront leurs appareils pour les acheter. Au minimum, ils devraient s'attendre à ce que leurs données soient sécurisées et, en l'absence de remplacement des mots de passe, leur fournir des conseils cohérents et éclairés est essentiel dans la quête d'une meilleure sécurité.

"Ce que montre cette étude, c'est que certains des compteurs disponibles signaleront une tentative de mot de passe comme étant un risque potentiel alors que d'autres le jugeront acceptable. La sensibilisation et l'éducation à la sécurité sont déjà assez difficiles, sans perdre l'opportunité en offrant des informations trompeuses qui laissent les utilisateurs mal orientés et avec un faux sentiment de sécurité."

L'étude a testé 16 mots de passe par rapport aux différents compteurs, 10 d'entre eux étant classés parmi les mots de passe les plus couramment utilisés au monde (y compris « mot de passe » et « 123456 »).

Sur les 10 mots de passe explicitement faibles, seuls cinq d'entre eux ont été systématiquement notés comme tels par tous les compteurs de mots de passe, tandis que 'Mot de passe1!' a bien mieux fonctionné qu'il ne devrait le faire et a même été fortement noté par trois des compteurs.

Cependant, une conclusion positive était qu'un mot de passe généré par le navigateur était systématiquement jugé fort, ce qui signifie que les utilisateurs peuvent apparemment faire confiance à ces fonctionnalités pour faire du bon travail.

En écrivant dans la conclusion de l'étude, Le professeur Furnell a ajouté :« Les compteurs de mots de passe eux-mêmes ne sont pas une mauvaise idée, mais vous devez clairement utiliser ou fournir le bon. Il convient également de rappeler que, quelle que soit la façon dont les compteurs les ont traités, de nombreux systèmes et sites accepteraient toujours les mots de passe faibles dans la pratique et sans avoir offert aux utilisateurs de conseils ou de commentaires sur la façon de faire de meilleurs choix.

"Alors que toute l'attention a tendance à se concentrer sur le remplacement des mots de passe, le fait est que nous continuons à les utiliser avec peu ou pas d'efforts pour aider les utilisateurs à le faire correctement. Les compteurs de mots de passe crédibles peuvent avoir un rôle précieux à jouer, mais les compteurs trompeurs vont à l'encontre de l'intérêt de la sécurité et peuvent simplement donner un avantage supplémentaire aux attaquants."