Vous avez un gestionnaire de mots de passe ? Bien, mais vous l'utilisez mal
Publié: 2022-01-29Toutes nos félicitations! Vous avez suivi nos conseils et installé un gestionnaire de mots de passe ! Peut-être l'avez-vous même entraîné à mémoriser tous vos mots de passe. Mais avez-vous remplacé les mauvais mots de passe par des mots de passe forts et uniques ? Avez-vous protégé tous ces mots de passe avec un mot de passe principal fort que personne d'autre ne pourrait deviner ? En bref : utilisez-vous correctement votre gestionnaire de mots de passe ?
Stuart Schechter, conférencier et responsable de cours pour le parcours Usable Privacy and Security de l'UC Berkeley, s'inquiète que vous ne l'êtes pas. À tel point qu'il a encouragé ses étudiants diplômés à découvrir ce que vous faites. Lors de la conférence virtuelle sur la sécurité RSA de 2021, Schechter et l'étudiant diplômé David Ng ont dévoilé leurs conclusions.
Le mot de passe est mort, vive le mot de passe
Schechter s'est présenté comme ce type qui portait un masque N95 au RSAC de l'année dernière, un excentrique parmi une mer de visages nus. Il a noté que cela n'était dû à aucune sorte de prescience sur la pandémie de coronavirus, mais plutôt à une aversion à faire des hypothèses optimistes en l'absence de données. De même, sans aucune donnée, il ne peut pas supposer que les consommateurs utilisent les gestionnaires de mots de passe comme ils le devraient.
Schechter a rappelé une prédiction de 2004 de Bill Gates, qui disait que nous utiliserions de moins en moins de mots de passe. "Microsoft a parlé d'éradiquer les mots de passe, comme s'il s'agissait d'une maladie, comme la variole", a déclaré Schechter. "Mais un pari séparé sur les mots de passe se multiplient, ne disparaissent pas." Il s'est plongé dans l'évolution des gestionnaires de mots de passe, ainsi que dans des événements comme la sortie de CardSpace de Microsoft en 2006 destinée à mettre fin aux mots de passe (ce n'est pas le cas), et sa déclaration selon laquelle Windows 10 signifiait la fin des mots de passe (ce n'était pas le cas).
L'utilisation d'un gestionnaire de mots de passe comporte un risque intrinsèque : vous avez mis tous vos œufs dans le même panier. Dans le cas improbable où une équipe de piratage crackerait votre gestionnaire de mots de passe, vous auriez des ennuis. Les avantages de l'utilisation d'un gestionnaire de mots de passe sont innombrables, parmi lesquels la protection contre les escroqueries par hameçonnage.
« Vous comptez sur votre gestionnaire de mots de passe pour entrer un mot de passe que vous ne connaissez même pas. Si vous accédez à un site de phishing, le gestionnaire de mots de passe ne le remplira pas », a déclaré Schechter. "Vous devrez aller le chercher dans le gestionnaire de mots de passe, et cela seul est un gros indice que vous êtes victime d'un hameçonnage."
Nos meilleurs gestionnaires de mots de passe
Dans une étude antérieure, Schechter et un collègue ont évalué la capacité des individus à se souvenir de mots de passe forts. La bonne nouvelle? Ils ont déterminé que presque tout le monde peut mémoriser un mot de passe très fort. La mauvaise nouvelle, cependant, est que cela nécessitait 20 à 30 sessions de formation à au moins une demi-heure d'intervalle, et que le mot de passe pouvait être oublié s'il n'était pas utilisé régulièrement.
Tous les avantages de l'utilisation d'un gestionnaire de mots de passe dépendent de trois hypothèses : nous supposons que les utilisateurs mémoriseront un mot de passe fort ; qu'ils s'appuieront sur la capacité du gestionnaire de mots de passe à générer des mots de passe aléatoires ; et qu'ils modifieront tous les mots de passe faibles, réutilisés ou compromis. Mais ces hypothèses sont-elles exactes ? Plutôt que d'opter pour l'optimisme en l'absence de données, Schechter a encouragé ses étudiants diplômés à rechercher la vérité.
Données, données, données
L'étudiant diplômé David Ng a expliqué en détail comment le groupe a trouvé ses participants, en réduisant un groupe initial de près de 2 500 personnes à environ 100 qui avaient utilisé un gestionnaire de mots de passe pendant plus de cinq mois ; géré au moins cinq mots de passe ; et étaient disposés à fournir une capture d'écran du tableau de bord de sécurité de leur gestionnaire de mots de passe.
Alors, les participants ont-ils utilisé un mot de passe maître fort ? Très peu avaient le gestionnaire de mots de passe en générer un qu'ils ont ensuite mémorisé. Un groupe beaucoup plus important a élaboré un mot de passe à l'aide d'un dispositif mnémotechnique, comme nous le suggérons souvent chez PCMag. Hélas, le plus grand groupe a admis avoir réutilisé un mot de passe familier comme clé principale pour leurs gestionnaires de mots de passe.
Vous pouvez utiliser un gestionnaire de mots de passe pour enregistrer les frappes tout en laissant tous vos mots de passe définis sur 12345678 ou un autre mot de passe terrible. Une utilisation correcte, bien sûr, nécessite que vous changiez ces mots de passe faibles en quelque chose généré par l'utilitaire de mot de passe. L'étude a révélé qu'à peine un cinquième de ceux qui s'appuient sur le gestionnaire de mots de passe intégré de Chrome l'ont laissé générer des mots de passe. Environ la moitié de ceux qui s'appuient sur des utilitaires tiers ont profité de cette fonctionnalité.
L'étude a ensuite examiné comment (et si) les participants utilisaient la capacité du tableau de bord de sécurité à identifier les mots de passe faibles, en double et compromis. Les résultats étaient décourageants. Même les participants qui ont convenu que l'outil de mot de passe identifiait correctement les mots de passe à remplacer n'ont souvent rien fait pour résoudre le problème. Les raisons incluaient que c'était trop de travail ou qu'ils craignaient que la mise à jour du mot de passe puisse causer un problème.
Ne présumez pas que les gens savent ce qu'ils font
Ng a conclu la présentation avec un avertissement aux experts en sécurité et aux particuliers. Ce n'est pas parce que les gens ont des gestionnaires de mots de passe qu'ils sont entièrement protégés.
"Ne supposez pas que les gens choisiront des mots de passe maîtres forts", a-t-il déclaré. "Ne supposez pas qu'ils utiliseront des mots de passe créés par le gestionnaire de mots de passe. Et ne supposez pas qu'ils remplaceront les mots de passe faibles, réutilisés ou compromis, même lorsqu'il est rappelé.
Recommandé par nos rédacteurs
Comment faire correctement les mots de passe
Vous avez vu que trop de gens installent un gestionnaire de mots de passe et ne l'utilisent pas correctement. Ne soyez pas comme eux ! Laissez leurs erreurs devenir vos moments propices à l'apprentissage.
Commencez avec ce mot de passe principal. Comme indiqué, il protège votre trésor d'informations d'identification de connexion, il doit donc s'agir de quelque chose dont vous vous souviendrez, mais que personne ne devinerait. Suivez nos conseils pour transformer un poème ou une chanson préférée en mot de passe, ou choisissez quelque chose d'indéniable de votre vie personnelle.
Ne vous arrêtez pas là ! Améliorez la protection de vos précieux mots de passe en activant l'authentification multifacteur. Tous les meilleurs gestionnaires de mots de passe l'ont. Maintenant, même un malfaiteur qui vole votre mot de passe indevinable ne peut pas entrer, car vous seul avez l'autre facteur d'authentification. Ce facteur peut être biométrique, ou il peut fonctionner via une application sur le téléphone dans votre poche (et celle de personne d'autre).
De nombreux gestionnaires de mots de passe évaluent vos mots de passe enregistrés, en signalant ceux qui sont boiteux, que vous avez utilisés plusieurs fois ou qui ont été exposés lors d'une violation de données. Je sais que c'est fastidieux, mais vous devez les parcourir et les remplacer tous par de nouveaux mots de passe longs et forts. Commencez par les pires et faites-en quelques-uns à la fois, jusqu'à ce que tous vos mots de passe soient parfaits. Vous n'avez pas à imaginer ces nouveaux mots de passe ; votre gestionnaire de mots de passe les générera pour vous.
Peut-être avez-vous résisté à l'utilisation de mots de passe complexes parce que vous ne voulez pas les taper sur le petit clavier de votre téléphone ? Ne résistez plus ! Installez l'application mobile de votre gestionnaire de mots de passe et liez-la à votre compte. Maintenant, la connexion au téléphone est un jeu d'enfant.
Relevez le défi et apprenez à utiliser correctement votre gestionnaire de mots de passe. Si vous êtes suffisamment nombreux à le faire, peut-être que la prochaine étude montrera que certaines personnes sont suffisamment intelligentes pour tirer pleinement parti de ces programmes utiles.