Vidéo: Gestion des risques - Partie 2: La Méthode EBIOS (Novembre 2024)
Après la découverte du bogue Heartbleed plus tôt cette année, les administrateurs de sites Web se sont efforcés de corriger le composant vulnérable qui permettait aux escrocs de capturer des blocs de mémoire à partir de serveurs sécurisés. Étant donné que ces morceaux pourraient facilement inclure des noms d'utilisateur et des mots de passe, de nombreux sites ont conseillé aux utilisateurs de mettre à jour leurs mots de passe après le correctif. Cependant, un rapport de sécurité des fabricants du populaire gestionnaire de mots de passe Dashlane révèle que la plupart des sites ont encore beaucoup de travail à faire avec leurs propres stratégies de mot de passe.
Méthodologie de test
Les chercheurs de Dashlane ont analysé les stratégies de mot de passe de plus de 80 sites Web populaires, attribuant des points aux stratégies améliorant la sécurité et en déduisant des points pour les stratégies à risque. Par exemple, un site qui envoie un e-mail de confirmation après la modification du mot de passe gagne 10 points, mais un site dont la notification inclut le mot de passe en texte brut perd 30 points. Un site qui accepte les mots de passe de trois caractères ou plus perd 5 points; celui qui nécessite au moins huit caractères gagne 20 points.
L’éventail des scores va de 100 points parfaits à -100 points. Dashlane considère qu'un site est raisonnablement sécurisé s'il a gagné au moins 50 points. Seuls 14% des sites interrogés ont réussi cet exploit et 53% ont obtenu des scores négatifs.
Mauvais mots de passe
À moins que les stratégies de mot de passe d'un site n'obligent à faire mieux, beaucoup de gens utilisent encore des mots de passe terribles tels que "mot de passe", "123456" et "qwerty". Dashlane a identifié les dix pires contrevenants et a déporté chaque site de 2, 5 points pour chacun des sites acceptés. Plus de 40% des sites ont accepté les dix. Une poignée a presque tout bloqué, mais a trébuché sur "abc123".
1800Flowers.com, Fab.com et Match.com ont la distinction peu enviable d'accepter des mots de passe aussi courts qu'un seul personnage. BestBuy.com est le seul site interrogé qui requiert dix caractères ou plus.
Le meilleur et le pire
Seul le site Web d'Apple a obtenu un score parfait de 100 points. Microsoft Windows Live a géré 85 points, UPS et le Microsoft Store en ont cumulé 75. Target et Kaspersky Lab ont géré 70 points. Notez que cela fait très spécifiquement référence aux politiques de mot de passe sur le site Web de Kaspersky et n’a rien à voir avec le logiciel de sécurité de la société.
À la recherche de l'amour? Espérons que vous n'utiliserez pas votre mot de passe Match.com sur d'autres sites. Avec -70 points, Match.com gère le score le plus bas de tous les sites testés. Hulu et Overstock ont marqué -55, Fab--50 et une poignée de sites, dont US Airways et Amazon, -45.
Le score moyen parmi tous les sites testés était juste un cheveu au-dessous de zéro, mais la moyenne par catégorie variait énormément. Les rencontres, les voyages et la sécurité ont donné en moyenne respectivement -23, -17 et -5 points. Le commerce électronique, les services sociaux et la productivité Les services publics ont enregistré des scores positifs de 3, 12 et 13 points respectivement. (Hé, les entreprises de sécurité; travaillez sur vos sites Web!)
Les stratégies affectent les mots de passe
Le résultat le plus intéressant est peut-être le résultat le plus intéressant obtenu en croisant les scores de stratégie de mot de passe avec la force moyenne du mot de passe sur chaque site. Avec la permission des utilisateurs, Dashlane collecte et agrège des données non personnelles en fonction de la force des mots de passe de chaque utilisateur. (Pas les mots de passe eux-mêmes! Juste la cote de force.) Sans surprise, il existe une forte corrélation entre les deux scores.
Vous pouvez consulter le rapport complet, y compris des détails précis sur la méthodologie de test et les conseils de Dashlane pour les sites ayant obtenu un score faible, à l'adresse www.dashlane.com/securityroundup. Cliquez sur l'infographie ci-dessous pour agrandir l'image.
