Lorsque j’anime des formations en informatique (web, référencement), je me retrouve très souvent dans le cas suivant :
Christophe : Maintenant que nous avons créé notre compte sur le site XYZ, je vous laisse vous connecter à votre webmail afin de récupérer le lien d’activation.
Personne en formation : Je n’arrive pas à me connecter. Mon mot de passe ne marche pas.
Christophe : Vous avez certainement du faire une faute de frappe, ré-essayez et faites attention aux minuscules/majuscules.
Personne en formation : Non non ça marche pas, pourtant chez moi ça fonctionne bien.
Christophe : Ok, on va ré-essayer ensemble, quel est votre identifiant ?
Personne en formation (parlant à haute voix de telle sorte que toute la salle entend) : Mon login est AZERTYUIOP et mon mot de passe est …
Christophe : Stop, ne dîtes pas votre mot de passe.
Personne en formation : Ah bon ? Mais je n’ai rien à cacher. Personne ne peut être intéressé par mes mails…
Christophe : Avez-vous le même mot de passe pour tous vos sites ?
Personne en formation : Oui…
Comment les internautes gèrent leurs mots de passe ?
Pour accéder à son espace privé sur un site web (email, média social,extranet, banque en ligne…), le couple identifiant / mot de passe saisi par l’utilisateur est aujourd’hui la solution adoptée par l’immense majorité des sites web.
Et pour des raisons de sécurité, chaque utilisateur ne devrait jamais utiliser les mêmes login et password.
C’est bien sur irréalisable, les internautes n’étant pas suffisamment sensibilisés aux risques de vol d’identité numérique et/ou il est souvent trop compliqué de se souvenir de plusieurs mots de passe différents.
Pistes de résolution
- Mieux sensibiliser les internautes aux problèmes de sécurité informatique
- Utiliser un logiciel pour stocker ses mots de passe : Keepass ! Avantage : il n’y a plus q’un seul mot de passe à retenir. Inconvénient : c’est un peu lourd à gérer et il ne faut pas perdre son unique mot de passe.
- Arriver à identifier l’internaute sans mot de passe : reconnaissance liée à un objet. Par exemple, au moment de se connecter, on saisit son numéro de téléphone comme identifiant. Le site web nous envoie un SMS contenant un code à saisir pour pouvoir accéder au service en ligne. Il n’y a plus de mot de passe à retenir mais le risque est déporté sur l’objet (téléphone volé, pas de réseau…). Ce mécanisme existe aussi sous forme de clé électronique fonctionnant sur le principe de clé publique/clé privée.
- Utiliser la biométrie pour reconnaître l’internaute. Certains portables sont équipés de cellules reconnaissants les empreintes digitales. Avantage : c’est facile. Inconvénients : peur du flicage, changement d’ordinateurs (authentification sur le poste de l’utilisateur ou par service centralisé ?), blessures…
Autres pistes ? Bonnes pratiques ? Lachez vos coms (comme disent les ados sur leurs Skyblogs)
Très bon article!
Étant moi même dans la même situation, j’avoue qu’il est assez difficile d’expliquer l’intérêt d’un bon mot de passe (unique et compliqué)
Malheureusement, par mon expérience, une fois cette méthode utilisée, les personnes ne se souviennent jamais de leur mot de passe 🙂
Pour avoir tester la biométrie, c’est pas mal du tout, mais des fois cela ne marche pas, et là que faire?
keepass est vraiment pas mal car gratuit, libre et multi-plateforme, mais j’avoue que sous mac je préfère utiliser 1password qui permet de gérer ses mots de passe sans trop d’effort!
La vidéo explique bien le problème 😉 http://agilewebsolutions.com/products/1Password/videos