Vos « questions secrètes » sont-elles trop faciles à répondre ?

L'expérience de Brian Green avec les questions pas si secrètes a commencé lorsqu'il s'est connecté à son compte World of Warcraft en mars de cette année et a trouvé tous ses personnages en sous-vêtements. Quelqu'un avait volé le compte et vendu tout son équipement virtuel.





Ma première pensée a été que je pourrais avoir un enregistreur de frappe sur mon ordinateur, a écrit Green dans une description de l'événement. Pourtant, ses propres recherches sur l'incident – ​​et la capacité de l'attaquant à changer les mots de passe de son compte plusieurs fois – ont conduit Green, qui est lui-même concepteur de jeux, à une conclusion différente : ma « question secrète » a une réponse bien trop commune… Cette n'était pas quelque chose que j'avais pris en compte quand je l'ai rempli il y a longtemps.

L'incident présente des similitudes avec l'affaire très médiatisée impliquant le gouverneur de l'Alaska et ancienne candidate à la vice-présidence Sarah Palin. En septembre 2008, des pirates ont utilisé le nom du lieu où Palin et son mari se sont rencontrés pour accéder à son compte de messagerie Yahoo via le mécanisme de récupération de mot de passe par question secrète.

Palin et Green ne sont pas seuls. Dans la recherche qui sera présentée au Symposium IEEE sur la sécurité et la confidentialité Cette semaine, des chercheurs de Microsoft et de l'Université Carnegie Mellon prévoient de montrer que les questions secrètes utilisées pour sécuriser les fonctions de réinitialisation de mot de passe de divers sites Web sont terriblement peu sûres. Dans une étude portant sur 130 personnes, les chercheurs ont découvert que 28 % des personnes qui connaissaient les participants à l'étude et à qui ils faisaient confiance pouvaient deviner les bonnes réponses aux questions secrètes des participants. Même les personnes auxquelles le participant n'avait pas confiance avaient encore 17% de chances de deviner la bonne réponse à une question secrète.



Les questions secrètes seules ne sont pas aussi sécurisées que nous le souhaiterions pour notre authentification de sauvegarde, déclare Stuart Schechter, chercheur chez le géant des logiciels Microsoft et l'un des auteurs de l'article. Ils ne sont pas non plus suffisamment fiables pour que leur utilisation seule soit suffisante pour garantir que les utilisateurs puissent récupérer leurs comptes lorsqu'ils oublient leurs mots de passe.

Les questions les moins sûres sont des questions simples dont les réponses peuvent être devinées sans aucune connaissance existante du sujet, selon les chercheurs. Par exemple, les réponses aux questions Quelle est ta ville préférée ? et Quelle est votre équipe sportive préférée ? étaient relativement faciles à deviner pour les participants. Au total, 30 pour cent et 57 pour cent des réponses correctes, respectivement, figuraient dans la liste des cinq premières suppositions.

Mais les réponses qui ne nécessitent que peu de connaissances personnelles pour deviner devraient également être considérées comme dangereuses, préviennent les chercheurs. Parmi les personnes auxquelles les participants ne feraient pas confiance avec leur mot de passe, 45% pouvaient toujours répondre à une question sur leur lieu de naissance et 40% pouvaient donner correctement le nom de leur animal de compagnie, ont découvert les chercheurs.



Les schémas d'authentification de sauvegarde devraient avoir deux caractéristiques importantes, dit Schechter. Ils doivent être fiables, permettant à un utilisateur légitime de retrouver l'accès à son compte, et ils doivent être sécurisés, empêchant les utilisateurs non autorisés d'y accéder.

L'étude a révélé que les questions secrètes sont insuffisantes pour les deux comptes. Même pour les questions les plus mémorables – celles de Yahoo, il s'est avéré que les participants ont oublié 16% des réponses en trois à six mois. Dans l'ensemble, une personne sur cinq a oublié toutes les réponses à ses questions secrètes, ont découvert les chercheurs.

Les gens ont tendance à sous-estimer la probabilité qu'ils oublient une technique intelligente ou une réponse désinvolte, dit Schechter.



Pendant près d'une décennie, l'expert en sécurité Bruce Schneier a critiqué les questions secrètes pour leur vulnérabilité aux attaques. En 2005, Schneier a écrit, j'aime à penser que si j'oublie mon mot de passe, il devrait être très difficile d'accéder à mon compte. Je veux que ce soit si dur qu'un attaquant ne puisse pas le faire.

Pourtant, les entreprises axées sur la réduction des coûts du service client ont introduit une porte dérobée dans les comptes des personnes qui est plus facile à contourner que d'essayer de deviner le mot de passe, dit-il. La chose étrange en matière de sécurité qui est faite est qu'il existe un système de sauvegarde pour réinitialiser votre mot de passe qui est moins sécurisé que le système qu'il est censé prendre en charge, dit Schneier.

Schechter convient que les chercheurs devront trouver un mécanisme complètement différent pour l'authentification des sauvegardes – les questions secrètes ne suffisent pas. Nous aimerions éventuellement voir ces questions disparaître, dit-il. Malheureusement, comme nous n'avons pas trouvé beaucoup de questions vraiment bonnes, il est difficile de recommander de simplement changer de questions.



Schechter recommande de ne pas choisir des questions qui peuvent avoir des réponses communes. Schneier va plus loin et dit qu'il tape souvent simplement une réponse au hasard; s'il a besoin de récupérer un mot de passe, dit-il, il appellera l'entreprise.

Green, dont la question secrète demandait le nom de son lycée, prévoit d'utiliser une messagerie électronique plus sécurisée à l'avenir. Et cela peut signifier renoncer à la récupération du mot de passe. Pouvoir réinitialiser mon mot de passe sur le site est chouette si j'oublie mon mot de passe, mais ça craint si quelqu'un d'autre parvient à trouver comment le faire sans ma permission, dit-il.

cacher