De nombreux sites ont de mauvaises politiques de mots de passe obsolètes

D'après une étude du College of Computing de Georgia Tech

Trois des quatre sites web les plus populaires au monde ne respectent pas les normes minimales et permettent à des dizaines de millions d'utilisateurs de créer des mots de passe faibles. Ces conclusions font partie d'une nouvelle étude de Georgia Tech sur la cybersécurité qui examine l'état actuel des politiques de mots de passe sur l'internet.

À l'aide d'un outil automatisé inédit permettant d'évaluer les politiques de création de mots de passe d'un site web, les chercheurs ont également découvert que 12 % des sites web n'imposaient aucune exigence en matière de longueur de mot de passe.


Frank Li, professeur adjoint, et Suood Al Roomi, doctorant à l'école de cybersécurité et de protection de la vie privée de Georgia Tech, ont créé un outil d'évaluation automatisé pour explorer tous les sites du Google Chrome User Experience Report (CrUX), une base de données d'un million de sites web et de pages.

La méthode de Li et Al Roomi pour déduire les politiques de mot de passe a réussi sur plus de 20 000 sites de la base de données et a montré que de nombreux sites :

• autorisent des mots de passe très courts
• ne bloquent pas les mots de passe courants
• utilisent des exigences dépassées telles que des caractères complexes
  

Les chercheurs ont également découvert que seuls quelques sites suivent pleinement les lignes directrices standard, tandis que la plupart s'en tiennent à des lignes directrices obsolètes datant de 2004. Le projet était 135 fois plus important que les travaux précédents qui s'appuyaient sur des méthodes manuelles et des échantillons de plus petite taille.

Plus de la moitié des sites web étudiés acceptaient des mots de passe de six caractères ou moins, 75 % d'entre eux n'exigeant pas le minimum recommandé de huit caractères. Environ 12 % des sites n'imposaient aucune longueur et 30 % ne prenaient pas en charge les espaces ou les caractères spéciaux.

Seuls 28 % des sites web étudiés appliquaient une liste de blocage des mots de passe, ce qui signifie que des milliers de sites sont vulnérables aux cybercriminels qui pourraient essayer d'utiliser des mots de passe courants pour s'introduire dans le compte d'un utilisateur, ce qui est également connu sous le nom d'attaque par pulvérisation de mot de passe.

"Le professeur Li et moi-même étions très enthousiastes à l'idée de relever ce défi", a déclaré Al Roomi. "Grâce à ses conseils et à notre travail continu sur la conception de l'algorithme et la technique de mesure, nous avons pu mettre au point une mesure automatisée de la politique de création de mots de passe et l'appliquer à grande échelle."

Al Roomi et Li ont conçu un algorithme qui détermine automatiquement la politique de création de mots de passe d'un site web. Avec l'aide de l'apprentissage automatique, ils ont pu constater la cohérence des exigences en matière de longueur et des restrictions pour les chiffres, les lettres majuscules et minuscules, les symboles spéciaux, les combinaisons et les lettres de départ. Ils ont également pu voir si les sites autorisaient les mots du dictionnaire ou les mots de passe connus ayant fait l'objet d'une violation.

"En tant que communauté de la sécurité, nous avons identifié et développé diverses solutions et meilleures pratiques pour améliorer la sécurité de l'internet et du web", a déclaré M. Li. "Il est essentiel que nous examinions si ces solutions ou lignes directrices sont effectivement adoptées dans la pratique afin de comprendre si la sécurité s'améliore en réalité."

Le projet a débuté au plus fort de la pandémie lorsque Al Roomi a constaté une lacune dans la littérature de recherche concernant les politiques de mots de passe des sites web. Au fil de ses lectures, il a découvert qu'un consensus de ses pairs ne pensait pas qu'une enquête à grande échelle sur les politiques de mot de passe était possible en raison de la variété des conceptions web.

"Il était passionnant de voir un défi identifié dans la littérature et de développer et d'appliquer une vision que nous avons transformée en outil de mesure", a déclaré Al Roomi. "Cette recherche était ma première dans le cadre de mon programme de doctorat à Georgia Tech et au SCP. C'est l'un des projets les plus stimulants et les plus gratifiants sur lesquels j'ai travaillé".

Le rapport complet sera présenté à la conférence de l'ACM sur la sécurité des ordinateurs et des communications (CCS) à Copenhague, au Danemark, dans le courant du mois. L'étude "A Large-Scale Measurement of Website Login Policies" a également été acceptée au 32e symposium sur la sécurité de l'USENIX au début de l'année.

[QUOTE]Résumé
L'authentification sur un site web à l'aide d'un mot de passe implique un processus de connexion en plusieurs étapes, où chaque étape implique des décisions critiques en matière de politique et de mise en œuvre qui ont un impact sur la sécurité de la connexion et la facilité d'utilisation. Alors que la communauté de la sécurité a identifié les meilleures pratiques pour chaque étape du processus de connexion, nous manquons actuellement d'une large compréhension des politiques de connexion aux sites web dans la pratique. Les travaux antérieurs s'appuyaient sur l'inspection manuelle des sites web, produisant des évaluations d'une petite population de sites biaisés vers les sites les plus populaires.
Dans ce travail, nous cherchons à fournir une image plus complète et systématique des politiques de connexion aux sites web dans le monde réel. Nous développons une méthode automatisée pour déduire les politiques de connexion des sites web et nous l'appliquons aux domaines du Google CrUX Top 1 Million. Nous évaluons avec succès les politiques de connexion sur 18 000 à 359 000 sites (variant en fonction de l'étape de connexion considérée), ce qui permet de caractériser une population de deux à trois ordres de grandeur plus importante que les études précédentes. Nos résultats révèlent l'étendue de l'existence de politiques de connexion non sécurisées et identifient...