Avoir son mot de passe compromis n’incite ni à le changer ni à l’améliorer

La plupart des internautes ne changent pas leur mot de passe quand celui-ci a été compromis. Et quand ils le font, le nouveau est souvent plus faible que l’ancien. Des constats issus d’une étude récente du Security and Privacy Institute de l’université Carnegie Mellon. Les chercheurs ont constaté que sur un échantillon de 249 participants, 63 possédaient des comptes sur une sélection de sites victimes d'un vol de données utilisateurs. La plupart concernant les 3 milliards de comptes piratés sur Yahoo fin 2016.

Parmi les personnes touchées par ces brèches, seul un tiers a changé son mot de passe. Et la majorité a passablement tardé à le faire, puisque seulement deux participants à l'étude l’ont modifié dans un délai d’un mois (cinq dans les deux mois et 8 dans les trois mois). De plus, le changement n'était souvent pas très inspiré: dans plus de la moitié des cas, les participants avait opté pour un mots de passe de force égale ou inférieure au précédent (cette force est évaluée à partir du nombre approximatif d’essais nécessaires pour deviner un mot de passe). Pour ne rien arranger, les nouveaux mots de passe étaient globalement plus proches que d’autres mots de passe utilisés sur d'autres comptes.

Par ailleurs, les personnes qui avaient modifié leur mot de passe suite à une brèche l’ont rarement fait sur d’autres sites où ils employaient pourtant un mot de passe identique ou très apparenté. En moyenne, ces mots de passe ont été modifiés pour quatre comptes sur 30. Les auteurs de l'étude appellent ainsi les entreprises victimes d’une brèche à indiquer clairement que même si les utilisateurs changent le mot de passe sur leur site, ils restent potentiellement vulnérables sur d'autres sites.

A lire aussi >> Choisir un mot de passe complexe ne servirait presque à rien...