Nous savons tous que nous devons créer des mots de passe sécurisés. Mais, pendant tout le temps que nous passons à nous soucier de nos mots de passe, il y a une porte dérobée à laquelle nous ne pensons jamais. Les questions de sécurité sont souvent faciles à deviner et peuvent souvent contourner les mots de passe.
Heureusement, de nombreux services se rendent compte que les questions de sécurité sont très peu sûres et les dissipent. Google et Microsoft ne proposent plus de questions de sécurité pour leurs comptes – à la place, vous pouvez récupérer un compte à l’aide d’un numéro de téléphone associé.
Le « Hack » de Palin
Ce n’est pas seulement un problème théorique. Yahoo! de Sarah Palin compte de messagerie était célèbre « piraté»À l’approche des élections de 2008. Le « pirate informatique » a simplement utilisé l’invite de réinitialisation du mot de passe et a répondu à sa question de sécurité. La question était de savoir où elle avait rencontré son conjoint, et la réponse – Wasilla High – était accessible avec une recherche rapide sur Google.
Le problème des questions de sécurité
Ce n’est pas seulement un problème pour Sarah Palin. Lorsque nous créons des comptes – des comptes bancaires aux comptes de messagerie – il nous est souvent demandé de définir une question de sécurité. La plupart du temps, nous recevrons une liste de questions suggérées comme «Où es-tu allé au lycée?» et « Quel est le nom de jeune fille de votre mère? » Certains sites Web vous permettent de créer votre propre question, mais beaucoup vous obligent à choisir parmi leur liste de questions suggérées. Certains sites Web vous obligent à configurer plusieurs questions et réponses de sécurité, ce qui signifie que vous ne pouvez pas simplement choisir une seule réponse facile à retenir – vous devez choisir plusieurs questions différentes et vous souvenir de toutes les réponses.
Le vrai problème avec les questions de sécurité est que les réponses sont si évidentes. Les réponses à de nombreuses questions de sécurité, comme « Quelle est votre anniversaire? » à « Où es-tu allé au lycée? » sont de notoriété publique, si quelqu’un veut regarder. Ils peuvent même être en mesure de les rechercher sur Google. Même si les réponses ne sont pas déjà connues du public, la plupart des gens normaux partageront des détails tels que l’endroit où ils ont rencontré leur conjoint et où ils sont allés à l’école dans une conversation normale.
Principes de base des questions de sécurité
Si vous n’avez jamais réinitialisé le mot de passe d’un compte, vous n’aurez peut-être jamais à traiter vos propres questions de sécurité et vous pourriez les oublier. Vous pouvez souvent cliquer sur un lien indiquant que vous avez oublié votre mot de passe et, si vous répondez correctement à la question de sécurité, vous avez accès à ce compte. De cette manière, les questions de sécurité vous permettent de contourner votre mot de passe. Votre compte n’est plus aussi sécurisé que votre mot de passe, il est aussi sécurisé que votre question de sécurité la plus évidente.
Les réponses aux questions de sécurité sont également plus faciles à deviner. Par exemple, si la question est «Quel était le nom de votre premier animal de compagnie?», Il est très facile de deviner certains noms d’animaux courants. Peu importe si votre mot de passe est quelque chose d’aussi difficile à deviner que «3 & 40 $ d #% $ t # kteyt». Si le nom de votre premier animal était «Fido» et que vous répondez avec précision à la question de sécurité, la réponse sera facile à deviner.
Tous les services ne réinitialiseront pas votre compte et ne donneront pas accès à quelqu’un d’autre simplement parce qu’ils connaissent la réponse à votre question de sécurité, mais certains le feront. D’autres services utilisent des questions de sécurité dans le cadre d’un processus d’authentification qui nécessitera d’autres informations personnelles.
Comment choisir et répondre aux questions de sécurité
Gardez tout cela à l’esprit lors du choix des questions et réponses de sécurité. Choisissez quelque chose que d’autres personnes auraient du mal à découvrir ou à deviner, pas quelque chose comme l’endroit où vous êtes allé à l’école.
La deuxième alternative consiste à refuser les questions de sécurité. Par exemple, si vous avez la possibilité de rédiger votre propre question de sécurité, vous pouvez saisir une question telle que « Quelle est la réponse? » ou faites référence à une blague que vous seul connaissez. Vous pouvez ensuite fournir une réponse aussi sûre que la question – peut-être que votre paire réponse / question est quelque chose comme « Quelle est la réponse? » « 45D% po # Yih8d0Y $ fgp (i34t ». Vous avez maintenant juste un deuxième mot de passe pour votre compte – notez-le dans un endroit sécurisé ou stockez-le dans un gestionnaire de mots de passe comme LastPass ou KeePass afin que vous puissiez y accéder au cas où vous en auriez besoin Avec une réponse comme celle-ci, vous n’avez en fait qu’un deuxième mot de passe.
Gardez à l’esprit que vous n’avez pas non plus à répondre aux questions avec précision. Par exemple, si la question est « Où avez-vous eu votre premier baiser? » et vous avez vécu à New York toute votre vie, vous ne voulez probablement pas entrer à New York – c’est une réponse vraiment évidente. Peut-être que votre réponse est «Dans un cratère sur la Lune» ou une autre réponse idiote dont vous vous souviendrez, mais d’autres personnes auront plus de mal à deviner. Bien sûr, même cette réponse est plus évidente qu’une chaîne apparemment aléatoire. Peut-être votre réponse à « Où avez-vous eu votre premier baiser? » est 9je7% 5yry835 # 9reou & hf94 @ 7gt5. Même si vous êtes obligé d’utiliser une certaine question, vous êtes libre de saisir la réponse de votre choix aussi longtemps que vous vous en souvenez. Bien sûr, vous voudrez garder cette réponse en sécurité au cas où vous auriez besoin de la fournir à l’avenir.
Les questions de sécurité ne sont pas sûres. Mais, même si vous êtes obligé de les utiliser ou forcé d’utiliser une question non sécurisée, vous n’êtes jamais obligé de fournir une réponse précise. Vous pouvez saisir la réponse de votre choix tant que vous vous en souviendrez plus tard. Quoi que vous fassiez, assurez-vous de ne pas ouvrir une porte dérobée qu’un attaquant pourrait utiliser pour contourner votre mot de passe.
Crédit d’image: Paul Keller sur Flickr