Pourquoi vous répondez mal aux questions de sécurité concernant le mot de passe

Pourquoi vous répondez mal aux questions de sécurité concernant le mot de passe / Sécurité

Lorsque nous nous inscrivons à un nouveau service en ligne, nous sommes invariablement invités à créer un mot de passe. Cela sécurise immédiatement le nouveau compte. Si vous y tenez, choisissez une longue chaîne de caractères complètement aléatoire ou laissez une application de gestion de mots de passe se charger du travail. Guide complet pour simplifier et sécuriser votre vie avec LastPass et Xmarks Le guide complet pour simplifier et sécuriser votre vie avec LastPass et Xmarks Bien que le cloud permette d'accéder facilement à vos informations importantes où que vous soyez, cela signifie également que vous avez de nombreux mots de passe à suivre. C'est pourquoi LastPass a été créé. Lisez plus pour vous. Ensuite dans la séquence viennent des questions de sécurité.

Ces questions demandent généralement le nom de jeune fille de votre mère, le nom de votre école primaire, le nom de votre premier animal de compagnie, etc. Conçues pour protéger nos comptes des pirates informatiques potentiels, les questions de sécurité devraient constituer une ligne de défense supplémentaire..

Comment répondez-vous à ces questions? Dites-vous la vérité, toute la vérité et rien que la vérité? Malheureusement, votre véracité pourrait créer une faille inattendue dans votre armure en ligne. Jetons un coup d'oeil à comment vous devrait être en train de répondre à ces questions.

Une barrière de protection

Les indices de mot de passe sont sans aucun doute utiles. Un indice utile sera affiché si vous oubliez votre mot de passe Windows. Et ceci après une seule tentative infructueuse. Dans le cas du mot de passe Windows, votre indice devrait vous rafraîchir la mémoire. Cela vous rappelle d'utiliser un indice que vous avez sélectionné, afin que vous puissiez être aussi crypté ou ouvert que vous le souhaitez..

Les questions de sécurité sont différentes. Nous faisons régulièrement face aux combinaisons de questions familières que j'ai mentionnées ci-dessus et fournissons volontiers des réponses précises. Les questions de sécurité sont présentées comme une ligne de défense supplémentaire. Cependant, vous devriez considérer la relative facilité d'obtenir certaines des réponses dans la société ultra-connectée d'aujourd'hui..

Comment créer une question de sécurité que personne ne peut deviner Comment créer une question de sécurité que personne ne peut deviner Ces dernières semaines, j’ai beaucoup écrit sur la façon de rendre des comptes en ligne recouvrables. Une option de sécurité typique consiste à configurer une question de sécurité. Bien que cela offre potentiellement un moyen simple et rapide de… Lire la suite. Pouvons-nous avoir confiance en une mesure de sécurité dont les réponses peuvent être facilement découvertes??

Je le fais mal?

Comment repérer et éviter 10 des techniques de piratage les plus insidieuses Comment repérer et éviter les 10 techniques de piratage les plus insidieuses Les pirates informatiques deviennent de plus en plus furtifs et nombre de leurs techniques et attaques passent souvent inaperçues, même de la part d’utilisateurs expérimentés. Voici 10 des techniques de piratage les plus insidieuses à éviter. En savoir plus - couleurs, noms de jeune fille, premiers animaux domestiques - car ils sont facilement accessibles via des comptes de médias sociaux. Comment se protéger de ces 8 attaques d'ingénierie sociale Comment se protéger de ces 8 attaques d'ingénierie sociale Quelles techniques d'ingénierie sociale un pirate informatique pourrait-il utiliser? comment vous protégeriez-vous d'eux? Jetons un coup d'œil à certaines des méthodes d'attaque les plus courantes. Lire la suite . Pour aggraver les choses, si votre compte utilise des questions et des réponses extrêmement spécifiques, un attaquant peut éliminer d'autres mots de passe potentiels..

Par exemple, si la question de sécurité était “Où avez-vous acheté votre première voiture?” l'attaquant peut immédiatement ignorer d'autres réponses plus faciles.

Je suis sûr que vous avez déjà trouvé la solution évidente à ce problème de sécurité. Si l'attaquant recherche une réponse qui vous concerne directement, pourquoi ne pas utiliser quelque chose de complètement différent?

  • Quel est le nom de jeune fille de ta mère? fa1c0npunc4
  • Où avez-vous rencontré votre épouse? b1cycl3tyr3
  • Quel était le nom de votre premier animal de compagnie? n0str0d4mu5

Ok, ce sont des exemples terribles, mais vous comprenez ma dérive. Si la réponse est a) obscure et b) utilise des caractères aléatoires, vous définissez immédiatement la barre de sécurité de vos comptes légèrement plus haute. Avez-vous pris ces 5 premières étapes pour sécuriser vos comptes en ligne? Avez-vous pris ces 5 premières étapes pour sécuriser vos comptes en ligne? Il est étonnant de constater combien de personnes ignorent ces bases de la sécurisation en ligne. Ces cinq sites Web et outils font de la sécurité en ligne une tâche plus facile. Lire la suite .

Et cela me rendra en sécurité?

Plus sûr, ami, mais pas tout à fait en sécurité.

Vous voyez, en 2015, Google a publié un document intéressant explorant les leçons apprises concernant les questions de sécurité. Utilisant leur ensemble de données presque inégalé pour analyser les questions secrètes posées par leur base d'utilisateurs monumentale, ils ont cherché à comprendre à quel point cette couche de sécurité supplémentaire est efficace..

Crédit d'image: Google Blog

Notre analyse confirme que les questions secrètes offrent généralement un niveau de sécurité bien inférieur aux mots de passe choisis par l'utilisateur. Il se révèle même être plus bas que des approximations telles que la distribution réelle des noms de famille dans la population indiquerait.

De manière surprenante, nous avons constaté qu'une des causes majeures de cette insécurité est le fait que les utilisateurs ne répondent souvent pas de manière sincère. Une enquête auprès des utilisateurs que nous avons menée a révélé qu’une fraction importante des utilisateurs (37%) ayant admis avoir fourni de fausses réponses l’avait fait pour tenter de les rendre “plus difficile à deviner” bien que, globalement, ce comportement ait eu l’effet opposé en tant que personnes “durcir” leurs réponses de manière prévisible.

Crédit d'image: Recherche chez Google

Pourquoi essayons-nous de mentir, mais le faisons-nous si mal? Comme vous pouvez le constater dans le tableau ci-dessus, la majorité des répondants ont fourni de fausses réponses, estimant que cela renforcerait leur sécurité. Nous pouvons alors supposer que le grand public (même s’il s’agit d’un instantané infime d’une énorme base de données) comprend que les questions de sécurité peuvent et seront utilisées à son encontre..

L’équipe de recherche de Google a finalement conclu que les questions de sécurité étaient quelque peu sécurisées ou faciles à retenir, mais la combinaison d’or est rare à trouver. Par conséquent “alors que Google préfère la récupération de SMS et de courrier électronique, aucun mécanisme n'est parfait.”

Un premier exemple

Malheureusement, Google a refusé de proposer la taille réelle de la base de données utilisée pour l'étude. Cependant, ils ont confirmé que “les données considérées contiennent des centaines de millions de points de données et chaque question analysée avait plus d'un million de réponses.” Chiffres substantiels, compte tenu de leur base d'utilisateurs estimée.

En 2016, United Airlines a déployé son nouveau système de sécurité mis à jour pour ses comptes clients. L'ancien système reposant sur des codes confidentiels à 4 chiffres était à juste titre jugé inapproprié pour les comptes contenant potentiellement des centaines de milliers de dollars de miles de voyageurs assidus. Le système mis à jour demande aux utilisateurs de saisir un mot de passe unique et de répondre à cinq questions de sécurité personnelles..

Ça sonne bien, non? Sauf que United Airlines demande à ses clients de choisir un mot de passe fort et unique et de répondre à leurs questions en utilisant un ensemble de réponses pré-ordonné. C'est vrai: réponses préordonnées. Par exemple, si vous choisissez la question “En quel mois est l'anniversaire de ton meilleur ami,” vous l'avez deviné, vos éventuels attaquants n'ont que douze réponses à donner. Moments difficiles.

Raison unie que “la majorité des problèmes de sécurité auxquels nos clients sont confrontés peut être attribuée à des virus informatiques enregistrant le dactylographie, et l'utilisation de réponses prédéfinies protège contre ce type d'intrusion.”

Le chercheur en sécurité Brian Krebs a parlé directement à Benjamin Vaughn, directeur du renseignement de sécurité informatique chez United Airlines. Vaughn a déclaré la compagnie “randomisait les questions pour confondre les programmes de bot qui cherchent à automatiser la soumission des réponses, et que les questions de sécurité mal répondues seraient «verrouillées» et non plus posées.”

"Les questions de sécurité sont le moyen le moins sûr de sécuriser quoi que ce soit." Rik Ferguson @TrendMicro # AISA2016

- Tracey Spicer (@TraceySpicer) 19 octobre 2016

En outre, Vaughn a confirmé à Krebs que plusieurs tentatives infructueuses aboutiraient à un compte bloqué. Par conséquent, l'utilisateur doit communiquer directement avec United Airlines pour déverrouiller son compte..

Sagesse conventionnelle

United Airlines a identifié une vulnérabilité en matière de sécurité, mais leur réponse n'a pas entièrement résolu le problème. Comme nous l’avons vu, le seul moyen véritablement sûr de répondre à une question de sécurité consiste, tout comme un mot de passe, à fournir quelque chose de vraiment unique et aléatoire. Ceci dans l'espoir que les pirates potentiels seront frustrés par la complexité et passeront au compte suivant..

La conclusion selon laquelle le grand public souffre de fatigue liée à la sécurité est importante car elle a des implications sur le lieu de travail et dans la vie quotidienne des personnes. C'est essentiel parce que beaucoup de gens effectuent leurs opérations bancaires en ligne et que les soins de santé et d'autres informations précieuses sont transférés sur Internet..

Si les gens ne peuvent pas utiliser la sécurité, ils ne le feront pas, et nous et notre pays ne serons pas en sécurité.

- Psychologue cognitif et Fatigue de sécurité co-auteur, Brian Stanton

Hélas, la fatigue liée à la sécurité est un problème très réel. Les utilisateurs sont de plus en plus fatigués. Les failles de sécurité et les réinitialisations forcées de mots de passe sont maintenant si courantes que de nombreux utilisateurs ignorent tout simplement les alertes. Cette fatigue conduit à un comportement risqué des utilisateurs à la maison et au travail. Nous suggestons:

  • Automatiser - Prenez le contrôle de votre sécurité et automatisez les analyses et les sauvegardes. Ne payez pas - Comment battre Beat Ransomware! Ne payez pas - Comment battre Ransomware! Imaginez si quelqu'un se présente à votre porte et dit: "Hé, il y a des souris chez vous que vous ne saviez pas. Donnez-nous 100 $ et nous nous en débarrasserons." C'est le Ransomware… Lire Plus et Plus.
  • Gestion de mot de passe - Solutions de gestion de mots de passe disponibles dans LastPass Maîtrisez vos mots de passe définitivement avec le défi sécurité de Lastpass 'Maîtrisez vos mots de passe définitivement avec le défi Sécurité de Lastpass' Nous passons tellement de temps en ligne, avec autant de comptes, qu'il est très difficile de se souvenir des mots de passe. Préoccupé par les risques? Découvrez comment utiliser le Challenge de sécurité de LastPass pour améliorer votre sécurité. Lisez plus ou KeyPass, et ils s’occupent également de vos questions de sécurité.
  • Prendre possession - La sécurité de vos données est votre responsabilité. Nous attendons beaucoup des institutions détenant nos données, et à juste titre. Cela dit, si vous n’imposez pas de mesures de sécurité strictes chez vous, vous serez en partie responsable.

Nous avons beaucoup écrit sur la lutte contre la fatigue liée à la sécurité. Trois façons de vaincre la fatigue liée à la sécurité et de rester en sécurité en ligne Moins sécurisé. Voici trois choses que vous pouvez faire pour vaincre la fatigue liée à la sécurité et rester en sécurité. Lire la suite . Lisez-le et reprenez le contrôle de vos questions de sécurité.!

Comment répondez-vous à vos questions de sécurité? Avez-vous frappé le sweet spot? Ou utilisez-vous une application de gestion de mot de passe? Faites-nous savoir vos astuces de sécurité ci-dessous!

Explorez plus sur: Mot de passe.