Vidéo: Who killed Toys "R" Us? Walmart or Amazon (Novembre 2024)
Bien sûr, les utilisateurs sont réputés pour la sélection de mots de passe faibles, mais si les sites Web prenaient quelques mesures simples pour renforcer la sécurité, nous en bénéficierions tous.
Apple, Newegg, Microsof, Chegg et Target ont suivi les meilleures pratiques de sécurité recensées par Dashlane dans son rapport trimestriel sur la sécurité des données personnelles. MLB.com, Karmaloop et Dick's Sporting Goods ont obtenu les pires scores, tandis qu'Amazon, Walmart, Toys R Us et Victoria's Secret ne s'en sont pas mieux tirés. Apple avait le score Perect, le seul détaillant à le faire.
Dashlane a classé 100 sites sur 24 critères différents, par exemple si le site rejetait les mots de passe faibles, les tentatives de connexion bloquées après un certain nombre de connexions incorrectes ou si un indicateur de force de mot de passe était affiché pour donner aux utilisateurs un retour immédiat sur les mots de passe sécurisés. Dashlane a recommandé aux sites de commerce électronique de verrouiller les comptes après quatre tentatives de connexion incorrectes, d’adopter des règles relatives à la sécurité minimale des mots de passe et de proposer des suggestions à l’écran pour aider les utilisateurs à choisir de meilleurs mots de passe.
"Certains détaillants peuvent faire valoir que de telles exigences entravent la convivialité des utilisateurs, mais des sociétés telles qu'Apple, sans doute la marque la plus célèbre de la liste, ont montré qu'il était possible d'être à la fois sûr et performant", a déclaré Dashlane.
Mots de passe faibles
Les utilisateurs sélectionnent souvent des mots de passe simples pour faciliter leur mémorisation. Mais les sites qui n'empêchent pas les utilisateurs de choisir des mots de passe couramment utilisés ne leur sont d'aucune utilité. La majorité des sites, 55%, acceptaient notoirement les mots de passe faibles tels que "123456", "111111" et "mot de passe", a constaté Dashlane. Environ 70% des sites ont autorisé les utilisateurs à utiliser "abc123" comme mot de passe. MLB.com permet même aux utilisateurs de sélectionner "baseball" comme mot de passe.
Les sites n'appliquent pas non plus de règles de mot de passe fort. Environ 62% des sites de l'enquête ne demandent pas aux utilisateurs de choisir un mot de passe composé de lettres et de chiffres, et 73% autorisent les mots de passe de moins de six caractères. Et 61% des sites n'ont même pas pris la peine de conseiller les utilisateurs sur la création d'un mot de passe fort lors de la procédure d'inscription.
Certains sites fournissent un petit indicateur à l'écran lors de la sélection du mot de passe, indiquant si l'utilisateur choisit un mot de passe faible, modéré ou fort, mais cela ne suffit pas. Parmi les sites de l'étude de Dashlane, 93% n'offraient pas ce genre de commentaires.
Sécurité du compte
Les attaquants utilisent fréquemment des méthodes «brutales» pour percer des comptes. Ils parcourent une liste de mots pour voir si l'un d'entre eux fonctionne. De nombreux sites, en particulier les banques, verrouillent généralement le compte après trois à cinq mots de passe incorrects. Dashlane a constaté que plusieurs sites principaux, notamment Amazon et Dell, permettaient des tentatives de connexion même après 10 tentatives avec un mot de passe incorrect.
Best Buy, Macy's, Williams-Sonoma, HSN, LL Bean, Toys R Us, Overstock.com et Vistaprint ont arrondi le reste des 10 principaux détaillants qui n'ont pas verrouillé leurs comptes après un mot de passe incorrect.
Huit sites, dont Toys R Us, J Crew et 1-800-Flowers, ont envoyé des mots de passe en texte brut par courrier électronique. Cela signifie que les détaillants stockent ces mots de passe tels quels, sans les chiffrer, dans leurs bases de données. Compte tenu du nombre de violations de données que nous avons constatées récemment, il est un peu étonnant que certaines grandes marques n'aient toujours pas appris qu'il est important de chiffrer des informations importantes dans la base de données. Vous vous demandez également quelles autres données sensibles sont stockées de manière non sécurisée.
L'intensifier
Le rapport a révélé que "certains des principaux sites de commerce électronique aux États-Unis ne parviennent pas à mettre en œuvre des stratégies de mot de passe de base permettant de protéger de manière adéquate les données personnelles de leurs utilisateurs", a déclaré Dashlane. Les corrections ne doivent pas nécessairement être coûteuses à mettre en œuvre ou prendre beaucoup de temps, a déclaré Dashlane.
Oui, les utilisateurs doivent prendre en charge leur sécurité personnelle et faire un meilleur travail de sélection des mots de passe, mais les propriétaires de sites Web peuvent également s’imposer et demander aux utilisateurs de faire mieux. La nature humaine en fait juste assez pour s'en sortir. Par conséquent, si les grands détaillants en ligne relevaient la barre, cela contribuerait grandement à améliorer la sécurité des données personnelles. Bien sûr, l’utilisation d’un gestionnaire de mots de passe (le gestionnaire de mots de passe de Dashlane est un choix des éditeurs PCMag) est toujours un bon choix.
Consultez le blog de Dashlane pour obtenir une liste complète des sites et de leurs scores. Si vous cliquez sur le lien Security Roundup, préparez-vous à ce que le fichier zip soit téléchargé automatiquement sur votre ordinateur. Un avertissement aurait été bien, Dashlane.