Qu'est-ce qu'une question de sécurité?
Une question de sécurité est une question utilisée pour vérifier l'identité d'une personne sur un réseau ou un site Web protégé par mot de passe. Les utilisateurs choisissent généralement l'une des nombreuses questions biographiques à laquelle répondre lorsqu'ils créent un compte en ligne. Ensuite, si un utilisateur oublie le mot de passe, il lui sera demandé de répondre à cette question de sécurité. Si la réponse à la question est correcte, le système enverra des informations sur la réinitialisation du mot de passe. Les questions de sécurité peuvent également être utilisées comme forme secondaire de vérification de l'identité une fois le mot de passe entré, par exemple si l'utilisateur se connecte depuis un emplacement inconnu.
Les questions de sécurité ont gagné en popularité depuis le début des années 2000 à la suite de ce qu'on appelle parfois "le chaos des mots de passe". Quelqu'un qui utilise Internet pour le travail, les études, la banque, les communications personnelles, etc. peut avoir des dizaines de noms d'utilisateur et mots de passe différents qu'il peut facilement confondre. Avant que les questions de sécurité ne se posent, l'utilisateur peut avoir à appeler le service clientèle pour que le mot de passe soit réinitialisé manuellement. Les sites qui permettent aux utilisateurs de réinitialiser leurs mots de passe au moyen d'une question de sécurité permettent aux entreprises de gagner du temps et de l'argent.
Bien que les questions de sécurité constituent un moyen pratique de réinitialiser un mot de passe, elles sont généralement considérées comme beaucoup moins sécurisées que le mot de passe lui-même. Une question de sécurité courante, par exemple, est "Quel est le nom de jeune fille de votre mère?" Ces informations, bien que peu connues, peuvent souvent être trouvées via un petit coup de fouille sur Internet, compromettant ainsi le compte de l'utilisateur. Parmi les autres informations parfois utilisées dans les questions de sécurité, citons les noms des animaux domestiques, les lieux de vacances préférés ou les informations sur l'école, dont une grande partie est régulièrement affichée sur les sites de réseaux sociaux.
En raison de ces risques de sécurité, les utilisateurs et les développeurs de réseau doivent faire attention aux questions de sécurité qu'ils choisissent et à la manière dont ils y répondent. Une bonne question de sécurité devrait avoir de nombreuses réponses possibles qu’un pirate informatique ne serait probablement pas en mesure de deviner. Les utilisateurs doivent veiller à ne pas publier d'informations liées à la question de sécurité où que ce soit sur Internet.
Les développeurs doivent également formuler les questions de telle manière qu'il n'y ait qu'un seul moyen possible d'écrire la réponse. Par exemple, la réponse à la question "Quelle est la date de naissance de votre mère?" Pourrait être écrite comme suit: "1er juillet 1948", "1er juillet 1948", "07/01/1948", ou de nombreuses autres manières. Un utilisateur qui a oublié son mot de passe ne saura probablement pas comment il a écrit la réponse, ce qui en fait une question de sécurité mal écrite. Une meilleure question serait: "Quels sont le mois et l'année de la naissance de votre mère (par exemple juillet 1948)?"