Les questions de sécurité sont une mauvaise idée, et voici pourquoi

Depuis que nous avons des mots de passe et des comptes, il y a toujours eu des hackers essayant de mettre la main dessus. Plus important encore, les gens ont également oublié leurs mots de passe. Pour les récupérer, le fournisseur de compte met souvent en place une série de questions auxquelles vous fournissez vos “réponses secrètes”. Ce système a bien fonctionné pendant de nombreuses années, mais il est truffé de moyens de faciliter le travail des hackers. Bien que les réponses soient secrètes, il semble que vous sacrifiez en réalité votre sécurité dans l’espoir qu’un jour ce sacrifice vous aidera à récupérer votre mot de passe.

Qu’est-ce qui rend les questions de sécurité horribles en matière de sécurité

Le 21 mai 2015, Google a publié des recherches concernant l’ensemble du système de questions de sécurité. Apparemment, “quel était le nom de votre premier animal de compagnie ?” peut être le maillon le plus faible de votre sécurité, et cela peut amener votre compte aux hackers sur un plateau d’argent. Alors que vous pouvez créer des mots de passe impossibles à deviner, les questions de sécurité pour la récupération sont conçues de telle manière que vous devriez pouvoir y répondre facilement. Cela fonctionne bien lorsque vous utilisez des réponses obscures que personne d’autre ne peut deviner, mais horriblement si votre animal (par exemple) a un nom très commun comme “Max” ou “Spot”. Si vous avez nommé votre chien “Ulysse” ou “Peruggia”, alors vous pourriez avoir une chance, bien que celle-ci ne soit pas si prometteuse.

Vous pouvez également choisir l’option B, qui est de mentir sur la réponse à votre question (c’est-à-dire répondre “Offram Klingmanstein III” quand on vous demande quel était le nom de jeune fille de votre mère). Le problème avec cela est que vous vous retrouvez avec encore une autre chose que vous devez vous rappeler. Se souvenir des réponses que vous avez menties est tout aussi difficile que de se rappeler le mot de passe que vous avez oublié en premier lieu. Ce n’est pas une solution mais un fardeau supplémentaire.

Que devrait-on utiliser à la place de ces questions ?

En plus des problèmes de sécurité que les questions introduisent, elles ajoutent simplement à la confusion pour ceux qui ne peuvent pas se rappeler la ville où ils sont nés ou les noms de leur premier animal de compagnie (cela arrive). Les personnes qui vous connaissent bien peuvent également accéder facilement à vos comptes avec cette méthode. Espérons que nous sommes arrivés à la conclusion qu’il faut remplacer la méthode de “réponse secrète”. Heureusement, il existe de nombreux bons candidats pour des remplacements, l’un des meilleurs étant l’authentification à deux facteurs.

La méthode de “réponse secrète” a été inventée avant que les gens n’aient couramment des téléphones portables capables d’ouvrir des messages SMS. À ce stade de l’histoire, pratiquement tout le monde ayant accès à Internet possède un téléphone portable. Sur 7 milliards de personnes, il y a environ 6,8 milliards de téléphones. Google a adopté une nouvelle méthode d’authentification qui consiste à envoyer un mot de passe à usage unique par SMS pour la récupération. Pour ceux qui n’ont pas de téléphone, ils pourraient utiliser un e-mail de secours soit d’une personne de confiance, soit un qu’ils utilisent eux-mêmes pour la récupération. Cette méthode rend très difficile de “deviner” comment accéder à un compte sans le téléphone de l’utilisateur.

En utilisant l’authentification à deux facteurs, vous résolvez deux choses en même temps :

• Vous minimisez le risque qu’une personne n’oublie sa “réponse” puisque le code SMS unique est remis à l’utilisateur sur demande, et
• Vous créez une méthode de récupération qui est presque incassable puisque le hacker aurait besoin d’accéder à un objet physique que possède l’utilisateur.

Pouvez-vous penser à quelque chose d’autre pour remplacer la méthode de réponse secrète ? Laissez vos pensées dans un commentaire ci-dessous !