Mot de passe et sécurité

UX UI a écrit un chouette article relatant son expérience d’utilisateur et la pseudo sécurité imposée sur certains sites :

Chez Verspieren, le mot de passe doit impérativement être… une suite de 4 chiffres. Je table cette fois sur un (très) grand nombre de dates de naissance et de codes de carte bleue. […]

Verspieren est une mutuelle (entre autre). On trouve ainsi sur le site différentes données plus ou moins intéressantes : le nom du client, son adresse, son numéro de téléphone, son e-mail, son numéro de sécurité sociale, ses coordonnées bancaires, ses remboursements, etc.

Quatre chiffres pour protéger ce genre de choses ? 10000 possibilités, est-ce vraiment sérieux ?

Je me suis fait le même genre de remarque cette semaine en m’inscrivant sur MailChimp. Une fois mon inscription validée, la première chose sur laquelle je tombe, c’est cet écran m’invitant à choisir une question de sécurité, et à indiquer sa réponse.

Ça part d’un bon sentiment, mais les questions sont en général tellement bateau qu’il y a de fortes chances pour que je ne sois pas le seul à en connaître la réponse. Ça m’inquiète surtout parce que c’est une technique de sécurité qu’il me semble aujourd’hui très facile à détourner. Il y a 10 ans déjà, alors que j’étais encore adolescent et que j’avais un compte MSN, on s’amusait à se piquer les comptes les uns des autres simplement en répondant à cette question. Une simple recherche sur Google permets d’en apprendre tout autant sur ce genre de détournements.

Ces questions de sécurité me font toujours penser à cette BD de XKCD datant d’il y a quelques mois.

Après 20 ans d’effort, nous avons brillamment réussi à entraîner tout le monde à utiliser des mots de passe qui sont difficiles à retenir pour les humains, mais faciles à deviner pour des ordinateurs.