À la veille du National Cyber Security Awareness Month (NCSAM), LastPass, éditeur du plus célèbre gestionnaire de mots de passe et principale solution de gestion des identités et des accès de LogMeIn, publie les résultats d’une nouvelle enquête consacrée à la psychologie, aux comportements et aux attitudes des consommateurs en matière de mots de passe personnels. Malgré l’omniprésence de fuites de données importantes et de grande envergure dans les médias, et en dépit des recommandations répétées des experts préconisant l’utilisation de mots de passe forts, il apparaît que les consommateurs doivent encore ajuster leurs propres comportements sur ce plan. 

comment-choisir-mot-de-passe

Menée auprès de particuliers des États-Unis, d’Allemagne, de France, de Nouvelle-Zélande, d’Australie et du Royaume-Uni, l’enquête s’intéresse aux raisons psychologiques les poussant à développer de mauvaises habitudes en la matière, et ce en parfaite connaissance des risques. Les résultats suggèrent l’existence d’une véritable « dissonance cognitive » au niveau des comportements en ligne.

La personnalité détermine pourquoi (mais pas comment) on se fait pirater

Sur le plan de la sécurité en ligne, la personnalité ne permet pas d’anticiper le comportement. En revanche, elle révèle la façon dont les consommateurs justifient leurs mauvaises habitudes en matière de mots de passe. Ainsi, pour près de la moitié des répondants avec une personnalité de Type A, le fait de réutiliser des codes secrets n’augmente pas les risques en raison de leurs propres efforts proactifs pour éviter cela. Ces efforts seraient donc motivés par une volonté de rester au contrôle. À l’inverse, plus de la moitié des personnalités de Type B estiment qu’elles doivent limiter leurs comptes et leurs activités en ligne par crainte de fuites. En se persuadant eux-mêmes de la faible valeur de leurs comptes pour les pirates, ces individus se permettent d’observer une attitude détendue et décontractée vis-à-vis de la sécurité de leurs codes secrets. Ces résultats montrent que bien que les types de personnalités n’influent pas sur le résultat final des mauvaises habitudes, ils fournissent des enseignements sur les motivations justifiant de tels comportements.

mot-de-passe

Le paradoxe des mots de passe : « c’est mal, mais je le fais quand même »

La majorité des personnes interrogées sont conscientes que leurs comportements en ligne comportent des risques, mais ne font pas les efforts nécessaires pour les changer. Seuls 5 % d’entre elles ignorent les caractéristiques des mots de passe sécurisés, à savoir la présence de majuscules et de minuscules, de chiffres et de symboles. En outre, 61 % des répondants continuent d’utiliser des codes identiques ou similaires sur différents sites. Pourtant, ils sont plus de 91 % à admettre l’existence d’un risque lié à cette pratique (55 % d’entre eux en sont d’ailleurs pleinement conscients).

mot-de-passe-exemple

Une complexité variable en fonction de certains critères

Les consommateurs conservent leurs mauvaises habitudes pour la création de codes secrets. L’enquête révèle que 47 % d’entre eux incluent des noms de famille ou des initiales. En outre, 42 % des mots de passe contiennent des dates ou des chiffres importants, et 26 % utilisent des noms d’animaux de compagnie, c’est-à-dire des informations faciles à obtenir sur les médias sociaux ou via de simples connaissances.

La complexité des codes utilisés a tendance à augmenter pour les comptes nécessitant davantage de sécurité aux yeux des consommateurs. Les mots de passe les plus complexes sont créés sur les sites de services financiers (69 %), de grande distribution (43 %), les médias sociaux (31 %) et les sites de divertissement (20 %). Pourtant, bien qu’il puisse paraître logique de placer tous ces comptes à des niveaux différents, le centre de ressources sur l’usurpation d’identité (Identity Theft Resource Center) rapporte que sur 657 entreprises victimes de fuites en 2016, seuls 21 étaient des établissements financiers. Lorsque des mots de passe sont réutilisés, les cybercriminels piratant un compte d’importance secondaire peuvent ensuite accéder à des comptes plus critiques (épargne, carte de crédit, etc.).

lastpass-mot-de-passe