Lors de l’inscription sur un site, la possibilité de vérifier la fiabilité de son mot de passe grâce à un indicateur est jugée comme un moyen d’être sûr de prendre les mesures indispensables pour sa sécurité. Une étude canadienne de l’Université Concordia montre cependant que la fiabilité de ces outils de mesure peut être remise en question. Il sera donc préférable d’utiliser d’autres mesures pour parvenir à trouver le meilleur code de sécurité pour chaque compte en ligne.
Un indicateur basé sur différents critères
Les résultats de l’étude montrent que les sites actuellement les plus utilisés ne montrent pas le même taux de sécurité pour le même mot de passe (en fonction de la politique de mot de passe). Si chez certains, il pourra apparaître comme insuffisant, il est très satisfaisant pour d’autres. Ce problème peut prêter à confusion en faisant croire à l’utilisateur que son choix le protège alors qu’il est simplement jugé performant par rapport aux critères mis en place par chacun des sites. Si certains ont de bonnes connaissances dans le domaine, d’autres sont limités aux réglages de base, ce qui explique une si grande différence de l’un à l’autre.
Si certains modes de gestion des codes d’accès appliquent les précautions nécessaires en indiquant lorsque le choix est trop simple, qu’il contient des mots entiers présents dans le dictionnaire donc facilement piratables, d’autres se cantonnent à proposer une combinaison alphanumérique. Pour un utilisateur, il sera bien difficile de savoir quel est le réel potentiel de son mode d’entrée sur un compte personnel. Cette disparité va même amener certains utilisateurs à sous-estimer le problème et à indiquer une combinaison beaucoup trop simple et qui les met en danger.
Fin des classements par couleurs ?
Cette étude a permis de mettre en évidence que le fait le fait de proposer un degré de fiabilité en utilisant le rouge, le jaune et le vert n’aidait pas réellement l’utilisateur. Si le rouge fait bien comprendre qu’il faut penser d’une autre façon, les deux autres couleurs peuvent être mal interprétées. Un internaute pourra penser que le jaune est suffisant pour assurer sa sécurité ou faire confiance à un vert sans en connaître la véritable fiabilité.
Les résultats ont été communiqués aux différents sites qui ne répondaient pas aux critères dans le domaine et nombreux sont ceux qui ont été surpris. Même si des changements ou des suppressions ont été réalisées, rien n’assure que les nouveaux moyens mis en place dans ce cadre pour participer à la protection des données soient plus efficaces que ceux qui ont été testés.
L’internaute face à sa propre responsabilité
La conclusion de cette étude canadienne est particulièrement intéressante puisqu’elle renvoie au fait qu’il n’est pas possible de faire confiance uniquement à un programme informatique mis en place pour tester son mot de passe. Une réflexion en amont doit être engagée afin de proposer la meilleure combinaison possible en fonction de sa propre échelle de confiance. Lors de la saisie, il ne faut pas que le mot de passe corresponde uniquement à un ensemble qui fasse plaisir ou qui soit facile à mémoriser mais qu’il agisse comme un véritable bouclier.
Même si des nouveautés ou des conseils sont dispensés pour lutter contre le hackage, il faut toujours garder à l’esprit que les méthodes des pirates du web évoluent en même temps que les techniques de protection. Si elles apparaissent comme inviolables au départ, rien ne garantit qu’elles le restent sur le long terme. Changer souvent de combinaison peut être un moyen de se prémunir contre ce type de risque car il sera beaucoup plus difficile d’accéder aux contenus de cet utilisateur. Les tentatives répétées auront moins de chances de réussir.
Source illustration : Flickr.