Les experts en sécurité critiquent depuis longtemps le mécanisme de récupération de mot de passe basé sur une question secrète. Bien souvent, la question est relativement simple et la réponse facile à trouver. Bien plus facile que le mot de passe...
En mars, Brian Green s’est loggué sur son compte World of Warcraft pour y trouver ses personnages en sous-vêtements. Quelqu’un s’était connecté et avait revendu tout l’équipement. Pas de keylogger ou de hacking en cause ici, on a simplement deviné la réponse à sa question secrète.
Pour un jeu, même s’il coûte relativement cher, les conséquences restent minimes. Mais dans d’autres cas, cela aurait pu avoir des effets bien plus dommageables. Ainsi, la candidate à la vice-présidence des États-Unis, Sarah Palin, s’était fait voler son compte Yahoo! Par des petits malins qui avaient utilisé le nom de l’endroit où elle avait rencontré son mari pour accéder au compte.
Une étude a montré que 28 % des personnes proches d’une victime peuvent deviner la réponse de ses questions secrètes. Techniquement, c’est comme si elles avaient le mot de passe. Et les personnes plus éloignées conservaient plus d’une chance sur 6 de deviner juste. Pour des questions comme « Quelle est votre ville/équipe sportive favorite? », le pourcentage pouvait monter de 30 à 57 %.
Cette méthode n’est définitivement pas adaptée pour les changements de mots de passe, et devient carrément inquiétante lorsqu’elle est utilisée par des institutions financières ou des comptes email utilisés pour ce type de service. Reste une solution : répondre volontairement à côté de la plaque. Si pour une question concernant votre ville d’origine vous donnez le nom de votre chien, ce sera déjà plus difficile à deviner. Et si vous y mettez un mot de passe aléatoire, ce sera encore mieux.

Source : Sur-la-Toile