Microsoft va rajouter plusieurs mesures de sécurité à son webmail. Il bannit les mots de passe trop simples et implique les amis dans la protection Hotmail.
La sécurité messagerie pour les nuls expliquée par Microsoft… L’éditeur s’attaque au problème persistant des mots de passe trop simples et donc plus vulnérables. Dans une contribution sur un blog officiel de Microsoft rapporté par eWeek Europe, Dick Craddock, responsable du programme Hotmail, a présenté les deux nouvelles améliorations de sécurité apportées au service. La première est simple, et déjà généralisée par certaines entreprises du Web, comme Twitter. Il s’agit d’interdire les mots de passe les plus simples et les plus populaires.
En pratique, le site vous empêchera de choisir un « 123456 » ou autre « ilovecats » comme mot de passe. Les utilisateurs qui ont adopté déjà une combinaison trop simple seraient poussés à le modifier. Car les récentes fuites massives de mots de passe par les pirates – Lulzsec en particulier – ont révélé la prédominance de ces mots de passes simplistes. Pour les pirates, c’est une aubaine. Une attaque par dictionnaire ne testant que les mots de passe les plus utilisés permet ainsi souvent d’accéder à un compte.
Autre outil de sécurité innovant : permettre aux amis de signaler le piratage du compte d’un de leurs contact. En effet, ils seront généralement les premiers avertis, quand ils commenceront à recevoir des spams ou des tentatives de phishing depuis l’adresse de leur contact. En général des demandes inattendues d’argent « car votre ami serait coincé dans un pays étranger« … alors que vous l’avez vu le matin même en pleine forme.
Du coup, une option a été ajoutée : pour signaler qu’un compte de messagerie est compromis, aller dans « Marquer comme » puis cliquez sur « Compte piraté ». Ce rapport sera utilisé, avec d’autres signaux, pour bloquer le compte et mettre en place la procédure de restauration. Initiative intéressante : les rapports de piratage sont partagés avec Yahoo et Gmail, qui peuvent les inclure dans leurs propres défenses anti-hackers.