Lorsque vous créez un compte sur une plateforme, une boîte mail ou un réseau social, on vous demande souvent de choisir une question de sécurité. Cette dernière vous est soumise en cas de perte de mot de passe afin de vous identifier formellement. Google a enquêté sur ce dispositif de sécurisation de votre compte et le résultat est sans appel : Les questions de sécurité ne sont pas une protection efficace.
Qu’est-ce qu’une question de sécurité ?
En cas de perte ou de réinitialisation d’un mot de passe, vous devez souvent répondre à une question simple que vous avez définie à la création du compte. Cette question porte souvent sur un élément de votre vie personnelle et vous êtes a priori le seul à en connaître la réponse. Cette question vous permet de récupérer votre mot de passe en cas d’oubli. Car si un mot de passe complexe est un moyen efficace de sécuriser votre compte, il est souvent difficile à retenir.
Des exemples de questions de sécurité :
Quel est le nom de votre premier animal de compagnie ?
Quel est le métier de votre grand-père ?
Quel est le nom de jeune-fille de votre mère ?
Quelle est votre ville de naissance ?
…
Selon Google, les questions de sécurité sont inefficaces.
Elie Bursztein et Ilan Caron, des employés de Google chargés de cette études sont formels : « Les questions de sécurités sont soit sécurisées, soit faciles à retenir, mais rarement les deux à la fois. ».
En effet, si les réponses aux questions de sécurité sont évidentes, elles sont faciles à deviner pour un proche ou un pirate. Il est même souvent possible de trouver la réponse en effectuant une recherche rapide sur les réseaux sociaux. Les pirates trouvent généralement la réponse à la question de sécurité en moins de 10 essais.
Améliorer la sécurisation d’un compte.
Comment faire alors pour sécuriser efficacement un compte, y compris en cas de perte ou d’oubli du mot de passe ?
Choisir une question de sécurité complexe.
La question de sécurité n’est pas un mauvais dispositif en soi, c’est la manière dont elle est utilisée qui la rend inefficace. Mais si vous choisissez une question complexe il est souvent impossible de se souvenir de la réponse. « Le titre de votre chanson/film préféré(e) ? » par exemple. Je ne sais pas vous mais en ce qui me concerne la réponse varie en fonction de mon humeur du jour. Pas l’idéal pour une question de sécurité.
Multiplier les questions de sécurité.
Google précise que multiplier les questions de sécurité, par exemple, deux ou trois à la suite, permet d’augmenter le niveau de sécurité du compte. Le problème est que tous les comptes ne proposent pas cette option.
Donner une réponse fausse.
Si vous donnez une réponse fausse volontairement, il est alors impossible pour un pirate de trouver la réponse en consultant vos profils de réseaux sociaux. Seulement en donnant sciemment une réponse fausse, vous devez être capable de vous en souvenir.
Multiplier les dispositifs de sécurité.
Plusieurs dispositifs de sécurité sont disponibles. Aucune solution n’est parfaite mais combiner plusieurs systèmes de sécurité s’avère être le meilleur moyen de sécuriser son compte.
- Choisir un mot de passe complexe.
- Vérifier régulièrement les paramètres de sécurité.
- Ajouter une ou plusieurs questions de sécurité.
- Associer à votre compte une adresse mail ou un numéro de téléphone pour recevoir un mot de passe en cas d’oubli.
- Ne stockez jamais vos mots de passe ou vos réponses sur votre ordinateur !
