Arrêtez de blâmer les gens pour avoir choisi de mauvais mots de passe. Il est temps que les sites Web fassent plus pour aider

Arrêtez de blâmer les gens pour avoir choisi de mauvais mots de passe - il est temps que les sites Web fassent plus pour vous aider

Crédit : Damir Khabirov/Shutterstock

Année après année, les mots de passe comme « 123456 », « qwerty » et même « mot de passe » s’avèrent être les choix les plus populaires et 2021 ne fait pas exception.

Ces rapports sont généralement accompagnés du même conseil aux utilisateurs : créez de meilleurs mots de passe pour protéger votre sécurité en ligne. Même si cela est peut-être vrai, il est également temps de réaliser que des années de promotion de ce message ont eu peu ou pas d’effet.

Pour améliorer les choses, je pense que nous devons arrêter de blâmer les gens et plutôt mettre la responsabilité sur les sites Web et les services d’encourager et d’appliquer une meilleure « cyber hygiène ».

Bien sûr, il est facile de pointer du doigt les utilisateurs – ce sont en fin de compte ceux qui font les mauvais choix de mot de passe. Mais en même temps, il est maintenant bien connu que les gens font généralement ces choix. Il est donc juste de supposer que sans conseils ou restrictions pour empêcher les mots de passe faibles, ils sont susceptibles de continuer avec les mêmes habitudes.

Néanmoins, nous avons des générations successives d’utilisateurs qui ne savent pas à quoi ressemble un bon mot de passe, ni empêchés de faire des choix paresseux. Il n’est pas difficile de trouver des exemples de sites Web qui accepteront les pires mots de passe sans se plaindre. Il est tout aussi facile de trouver des sites qui obligent les utilisateurs à créer des mots de passe, mais ne leur donnent aucune indication pour le faire. Ou des sites qui offriront des commentaires indiquant que le choix du mot de passe d’un utilisateur est faible, mais le permettent quand même.

Comment les fournisseurs peuvent-ils faire mieux

Si vous êtes responsable de la gestion d’un site Web ou d’un service qui accepte les types « 123456 », « qwerty » ou « mot de passe », il est temps de repenser votre système. Si vous laissez les utilisateurs s’en tirer avec de mauvais choix, ils croiront qu’ils sont acceptables et continueront cette mauvaise pratique.

Au contraire, en mettant en œuvre des protocoles plus forts, vous pouvez aider à résoudre le problème à sa source. Les sites Web doivent avoir mis en place des processus pour filtrer les mots de passe médiocres, une « liste noire » de choix courants.

Et bien qu’il puisse être utile d’offrir des conseils aux utilisateurs au moment de la création du mot de passe, les sites devraient cesser d’insister sur des choses qui, selon des organisations faisant autorité comme le UK National Cyber ​​Security Center et l’US National Institute of Standards and Technology, ne devraient pas être appliquées. . Par exemple, ils déconseillent l’exigence de complexité du mot de passe (comme l’inclusion de lettres majuscules et minuscules, de chiffres et de symboles de ponctuation).

Les deux organisations indiquent que l’augmentation de la longueur du mot de passe est plus importante que la complexité. En effet, les mots de passe plus longs sont plus résistants au craquage par force brute (où les attaquants essaient toutes les combinaisons de lettres, de chiffres et de symboles pour trouver une correspondance) et les mots de passe moins complexes peuvent être plus faciles à retenir.

Pourtant, de nombreux sites continuent d’exiger de la complexité et d’imposer des limites supérieures à la longueur, ce qui bloque souvent les choix de mots de passe parfaitement raisonnables que nos navigateurs et autres outils peuvent générer automatiquement pour nous.

Vous vous demandez peut-être pourquoi c’est important. Si les gens veulent choisir des mots de passe faibles et se mettre en danger, alors pourquoi cela devrait-il devenir le problème du fournisseur ? Un argument est que si un service est chargé de protéger les données personnelles des utilisateurs (comme les fournisseurs le sont via le RGPD), cela n’a pas beaucoup de sens de permettre aux utilisateurs de se rendre vulnérables en choisissant des mots de passe faibles.

Il convient également de noter que, dans certains cas, le mot de passe faible d’un utilisateur pourrait donner à un attaquant un pied dans le système à partir duquel exploiter d’autres faiblesses et augmenter son accès. Il est donc sans doute dans l’intérêt du fournisseur de minimiser ces opportunités et de protéger les données d’autres personnes dans le processus.

Les mots de passe ne vont nulle part

Nous assistons maintenant à une évolution vers l’authentification sans mot de passe, mais ce nom en lui-même souligne la domination des méthodes basées sur un mot de passe. Leur mort a été prédite il y a plus de 15 ans, et pourtant ils sont toujours là. Il est prudent de supposer qu’ils vont être avec nous pendant un certain temps encore.

Nous avons donc le choix : assumer la responsabilité collective de régler les bases, ce qui implique une action des utilisateurs et des fournisseurs, ou maintenir l’effort collectif pour hausser les épaules et se plaindre du comportement des utilisateurs.

Pour ceux qui fournissent et exploitent des systèmes, des sites et des services basés sur des mots de passe, l’appel à l’action est, espérons-le, clair : vérifiez ce que votre site permet et voyez s’il devrait faire mieux. S’il laisse passer les mots de passe faibles, changez cela ou, au minimum, faites quelque chose qui essaie de dissuader les utilisateurs de les choisir.

Si vous lisez ceci en tant qu’utilisateur et que vous recherchez de bons conseils pour créer de meilleurs mots de passe, le UK National Cyber ​​Security Center fournit quelques conseils utiles. Celles-ci incluent la combinaison de trois mots aléatoires pour vous donner des mots de passe plus longs mais plus mémorables, et l’enregistrement de vos mots de passe en toute sécurité dans votre navigateur pour réduire davantage le fardeau de la mémorisation des mots de passe sur plusieurs sites. Donc, même si les prestataires n’en font pas assez, il y a quand même des choses que vous pouvez faire pour vous protéger.


Les mots de passe complexes ne sont pas toujours les meilleurs


Fourni par La Conversation

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l’article original.La conversation

Citation: Arrêtez de blâmer les gens pour avoir choisi de mauvais mots de passe. Il est temps que les sites Web fassent plus pour aider (2022, 3 janvier) récupéré le 3 janvier 2022 à partir de https://techxplore.com/news/2022-01-blaming-people-bad-passwords-websites.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.