Récupération de mots de passe : des questions secrètes trop bateau

Le par  |  14 commentaire(s)
Microsoft-securite-authenticator

C'est une règle de base dans la sécurisation de ses accès en ligne : en multipliant les comptes, il convient de multiplier les mots de passe. Mais en cas d'oubli, ce sont souvent les solutions proposées par les sites internet et les fameuses questions secrètes qui posent un véritable problème de sécurité.

Pour récupérer simplement et rapidement un accès à un compte en ligne dont on aurait perdu le mot de passe, une majorité des sites proposent encore le recours à la fameuse question secrète.

VerrouillerLe principe est simple : lors de son inscription à un site, l'utilisateur est invité à renseigner une réponse à une question "secrète" ( son nom de jeune fille, le prénom de son premier animal de compagnie, son pays favori, son repas préféré...). Lorsque l'utilisateur oublie son mot de passe, il peut alors le récupérer en répondant correctement à cette fameuse question.

Le tout fonctionnait relativement bien avant que les réseaux sociaux n'entrent en jeu, puisque désormais il est plus que probable que vous ayez déjà fourni ces indications sans même le vouloir au fil de vos publications sur Facebook et consort...

Et même sans les réseaux sociaux, il a récemment été démontré que ces questions "secrètes" ne permettaient pas de concentrer suffisamment de réponses originales pour se vouloir fiables. Des chercheurs de Google ont ainsi analysé des centaines de millions de questions secrètes ainsi que leurs réponses permettant de récupérer ses identifiants aux comptes Google.

Un petit calcul de probabilité, et le constat est flagrant : des hackers ont énormément de chances de deviner les réponses en misant sur des termes basiques. Un hacker aurait ainsi 19,7 % de chance de deviner avec succès la réponse utilisée à la question " quel est votre plat préféré". Et juste au cas où cela vous inquiète, la réponse la plus largement utilisée pour cette question est la pizza.

Pour deviner une ville de naissance d'un compte d'une personne parlant coréen, un hacker aura 39 % de chance de viser juste au bout de la 10e tentative.

Et pas question de se sentir rassuré en se disant que l'on a choisi une fausse bonne réponse pour tenter de biaiser le système, puisque même dans nos choix de fausses réponses, les redondances sont suffisamment significatives pour représenter un risque sécuritaire.

Paradoxalement, le recours aux questions et réponses plus complexes n'est pas employé par les utilisateurs, principalement parce qu'elles sont aussi bien souvent plus difficiles à retenir que le mot de passe que l'on cherche à récupérer... La boucle est donc bouclée.

Une des solutions serait d'imposer la réponse à plusieurs questions, mais là encore, c'est l'utilisateur qui trouvera le processus trop lourd et qui risquerait également d'oublier l'une des réponses choisies au préalable...

Finalement la meilleure chose à faire serait d'abandonner ce système et d'opter pour une authentification forte basée sur l'envoi d'un SMS. Restera alors à ne plus perdre son smartphone ou sa ligne téléphonique.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1843099

Finalement la meilleure chose à faire serait
d'abandonner ce système et d'opter pour une
authentification forte basée sur l'envoi d'un SMS.



Bah tiens donc ... et potentiellement pouvoir me faire pourrir de SMS de pubs ?

Personnellement je donne mon numéro de portable à mes amis et uniquement à ceux-ci.
Y a pas longtemps encore dans une boutique de parfum alors que je faisais une carte du magasin, elle m'a demandé mon numéro de portable ... Je lui ai répondu, désolé mais je ne le donne pas ...
Le #1843100
"Et pas question de se sentir rassuré en se disant que l'on a choisi une fausse bonne réponse pour tenter de biaiser le système, puisque même dans nos choix de fausses réponses, les redondances sont suffisamment significatives pour représenter un risque sécuritaire."
=>Bah tiens, si tu voyais la gueule de mes bonnes réponses...
Mais oui les questions parfois dites "de sécurité" (le comble du foutage de gueule!!) sont une gigantesque faille de sécurité. A quand des système de récupération basés par exemple sur la clé PGP de l'utilisateur ?

Et +1 FRANCKYIV, mon numéro perso, ben il est... perso
Le #1843101
Pour les SMS c'est effectivement une solution mais comme FRANCKIV je ne suis pas fan non plus.

D’autre part moi la réponses au question secrètes je met toujours un truc sans aucun rapport et ceux peut importe la question et donc toujours la même chose en réponse, donc a part du brut force sur la question y'a aucune chance de trouvé puisque c'est une phrase modifié avec des caractères remplacé comme le a =>@ / le E=>3 et ainsi de suite.....
donc les attaquer par dico c'est déjà plus un soucie et puis bon avec une longueur de 16 caractères contentent caractères normaux + spéciaux et numéro ca va faire long sur du brutfeorce faut de la puissance de calcule et de la patience, sachant que en moyenne au dessus de 8 caractères on oublie de bruteforce a cause du temps de calcul qui deviens juste désespèrent
Le #1843108
FRANCKYIV a écrit :


Finalement la meilleure chose à faire serait
d'abandonner ce système et d'opter pour une
authentification forte basée sur l'envoi d'un SMS.



Bah tiens donc ... et potentiellement pouvoir me faire pourrir de SMS de pubs ?

Personnellement je donne mon numéro de portable à mes amis et uniquement à ceux-ci.
Y a pas longtemps encore dans une boutique de parfum alors que je faisais une carte du magasin, elle m'a demandé mon numéro de portable ... Je lui ai répondu, désolé mais je ne le donne pas ...


Moi je donne le bon à un numéro près x)

Le hic pour moi avec les questions secrètes, c'est qu'elles ne sont pas assez personnelle ou potentiellement trop pertinente.

Quel est la marque de la première voiture que vous avez rêvé posséder ?
Quel est le nom de votre ville de naissance ?
Quel est le nom de votre première école ?

Le genre de question auxquelles nous pouvons répondre sans y prêter attention
en en parlant sur un réseau social, en complétant un formulaire d'inscription
sur un site ou quelques minutes après la rencontre avec une belle inconnue.

Il est si simple pour un membre de votre entourage de répondre à ce genre de question ...

Je ne sais pas moi, qu'il demandent plutôt le produit des facteurs correspondant aux numéros de votre carte vitale ou de vos chiffres fétiches au loto ...

@Bugmenot : comment tu fais pour bruteforce une question secrète ?


Le #1843131

Les gens ont déjà du mal à se rappeler leur(s) mot(s) de passe , alors se rappeler de la question secrète , vous en demandez un peu trop
Le #1843141
Misstigry a écrit :

Les gens ont déjà du mal à se rappeler leur(s) mot(s) de passe , alors se rappeler de la question secrète , vous en demandez un peu trop


Je ne peux pas être de ton avis. Avec la question secrète tu as 50% de la réponse.
( enfin ... tu sais quoi répondre si tu n'as pas répondu la première fois à côté de la plaque )
Le #1843165
Juste un point auquel on ne pense pas de prime abord.
En règle générale, après une inscription sur un site, bien souvent, la confirmation s'effectue en en cliquant sur un lien qui se trouve sur le mail qu'on a reçu,
Ce mail contient également les rappels de nos identifiants choisis, charge à nous de garder ce mail dans un dossier perso, trop souvent, ce mail part à la corbeille ...
C'est peut-être un peu lourd pour certains de consulter un mail d'origine, mais on retrouve ses identifiants !
La principe des questions ou réponses secrètes est vraiment dépassé ... et peu sécurisé !
Le #1843172
DeepBlueOcean a écrit :

Juste un point auquel on ne pense pas de prime abord.
En règle générale, après une inscription sur un site, bien souvent, la confirmation s'effectue en en cliquant sur un lien qui se trouve sur le mail qu'on a reçu,
Ce mail contient également les rappels de nos identifiants choisis, charge à nous de garder ce mail dans un dossier perso, trop souvent, ce mail part à la corbeille ...
C'est peut-être un peu lourd pour certains de consulter un mail d'origine, mais on retrouve ses identifiants !
La principe des questions ou réponses secrètes est vraiment dépassé ... et peu sécurisé !



Ouais , enfin si tu te fais hacker ta boite mail , c'est le jackpot.

Ce qui est reproché à la question secrète ici , c'est d'être trop facilement prédictive.

Mais dans la vrai vie , je ne connais pas beaucoup de personnes qui utilisent la méthode de double authentification. Simplement parce que ça fait chier , c'est trop long.

D'ailleurs , à titre personnel , la seule procédure qui me le propose systématiquement , c'est VISA pour les paiements par CB ( quand Paypal n'est pas accepté ) .

Ils me demandent le nom de la rue ou je suis née , et ça , faut être vachement intime avec moi pour le savoir
Le #1843177
Misstigry a écrit :

DeepBlueOcean a écrit :

Juste un point auquel on ne pense pas de prime abord.
En règle générale, après une inscription sur un site, bien souvent, la confirmation s'effectue en en cliquant sur un lien qui se trouve sur le mail qu'on a reçu,
Ce mail contient également les rappels de nos identifiants choisis, charge à nous de garder ce mail dans un dossier perso, trop souvent, ce mail part à la corbeille ...
C'est peut-être un peu lourd pour certains de consulter un mail d'origine, mais on retrouve ses identifiants !
La principe des questions ou réponses secrètes est vraiment dépassé ... et peu sécurisé !



Ouais , enfin si tu te fais hacker ta boite mail , c'est le jackpot.

Ce qui est reproché à la question secrète ici , c'est d'être trop facilement prédictive.

Mais dans la vrai vie , je ne connais pas beaucoup de personnes qui utilisent la méthode de double authentification. Simplement parce que ça fait chier , c'est trop long.

D'ailleurs , à titre personnel , la seule procédure qui me le propose systématiquement , c'est VISA pour les paiements par CB ( quand Paypal n'est pas accepté ) .

Ils me demandent le nom de la rue ou je suis née , et ça , faut être vachement intime avec moi pour le savoir


La majeure partie du temps, l'auteur d'un hack/piratage vient de ton entourage et non de M.zfsdjfjkoff habitant en Russie profonde
Le #1843193
DeepBlueOcean a écrit :

Juste un point auquel on ne pense pas de prime abord.
En règle générale, après une inscription sur un site, bien souvent, la confirmation s'effectue en en cliquant sur un lien qui se trouve sur le mail qu'on a reçu,
Ce mail contient également les rappels de nos identifiants choisis, charge à nous de garder ce mail dans un dossier perso, trop souvent, ce mail part à la corbeille ...
C'est peut-être un peu lourd pour certains de consulter un mail d'origine, mais on retrouve ses identifiants !
La principe des questions ou réponses secrètes est vraiment dépassé ... et peu sécurisé !


Parce que faire passer un mot de passe dans un email (donc en clair) c'est vraiment sécurisé ???
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]