La sécurité des mots de passe est un élément essentiel de la cybersécurité pour les organisations. Ce guide fournit des conseils essentiels pour créer et gérer des mots de passe forts, notamment l'utilisation de gestionnaires de mots de passe et l'authentification multifactorielle.
Découvrez les vulnérabilités courantes des mots de passe et les meilleures pratiques pour sensibiliser les employés à la sécurité des mots de passe. Il est essentiel de comprendre la sécurité des mots de passe pour protéger les informations sensibles et empêcher tout accès non autorisé.
Le mot de passe d'un utilisateur est la clé qui lui permet d'accéder à son compte. Selon les autorisations dont dispose ce compte utilisateur une fois dans le système, cette clé peut s'avérer très puissante. Si je dispose du mot de passe de votre compte bancaire en ligne, je peux accéder à votre compte et à toutes les données qu'il contient. Ce serait très ennuyeux pour vous. Mais si je parviens à obtenir le mot de passe de l'administrateur système de la banque en ligne au niveau du serveur, je peux mettre la main sur vos informations et celles de tous les autres utilisateurs. C'est ainsi qu'un nombre surprenant de violations de données happen.
Ce qui rend la sécurité des mots de passe si importante, c'est qu'il n'est pas nécessaire d'être particulièrement doué en informatique pour exploiter le mot de passe d'une personne une fois qu'on l'a obtenu. D'autres types de failles de sécurité, qu'il s'agisse de portes dérobées, d'installation à distance de malware ou l'injection de code malveillant sur des serveurs web, nécessitent un certain niveau d'expertise. Mais un mot de passe ? C'est le moyen le plus simple d'accéder à des données qui ne vous appartiennent pas. C'est pourquoi il existe un marché des mots de passe sur le dark web, laissant la partie difficile (l'intrusion) à ceux qui savent comment s'y prendre, et le chaos à ceux qui n'ont rien d'autre en tête que la malveillance. Le credential stuffing, le password spraying et d'autres types d'attaques basées sur les mots de passe peuvent souvent être stoppés simplement en utilisant une bonne sécurité des mots de passe.
Recommandations du NIST en matière de sécurité des mots de passe
Le National Institute of Science and Technology (NIST) a étudié la question afin d'améliorer la sécurité au niveau fédéral. Il a publié un projet de modifications proposées aux politiques nationales en matière de sécurité des mots de passe afin de mieux sécuriser le système du gouvernement fédéral’s system. Une fois adoptées, ces politiques ne concerneront que les utilisateurs travaillant dans une entité fédérale. Toutefois, elles doivent être prises au sérieux par toute personne chargée de la sécurité de son infrastructure informatique (ou de ses comptes personnels).
Certaines de ces recommandations vont à l'encontre des idées reçues de longue date en matière de sécurité des mots de passe :
1. Facilitez la création de mots de passe faciles à mémoriser pour vos utilisateurs
N'imposez pas de restrictions sur le format du mot de passe. Lorsque vous imposez des règles telles que l'utilisation d'au moins une majuscule, d'un chiffre ou de caractères spéciaux, ou que vous signalez que le mot de passe est trop long, cela ne fait que frustrer les utilisateurs, qui cherchent alors des solutions de facilité. Si John Smith décide de choisir le mot de passe " johnsmith ", cela n'est pas acceptable. Mais en imposant un format spécifique, vous l'encouragez à créer, dans le cadre de ces restrictions, un mot de passe tel que " J0hnsm1th ! ", qui n'est pas vraiment meilleur. Toute personne douée pour déchiffrer/décoder les mots de passe peut rapidement trouver cette variante.
Au lieu de cela, donnez à John plus de liberté dans sa création. Encouragez l'utilisation d'une phrase plus longue (64 caractères est désormais la longueur maximale recommandée, et non plus 16) et assurez-vous que le système peut gérer tous les caractères que vous lui soumettez, y compris non seulement le texte ASCII, mais aussi tout ce qui relève de l'Unicode, y compris les emojis. Cela fonctionne mieux lorsque vous disposez d'un dictionnaire de mots de passe connus pour être mauvais que le système peut vérifier. Ainsi, lorsque la première tentative de création de mot de passe de John (" johnsmith ") est rejetée, il peut canaliser sa frustration vers quelque chose de beaucoup plus sûr, comme ces 49 caractères : " Notre administrateur système est un vrai casse-pieds ????."
Bien sûr, c'est de l'anglais assez simple, mais c'est plus aléatoire que de simplement remplacer des lettres par des chiffres qui leur ressemblent.
De plus, cessez de laisser les mots de passe expirer et d'obliger les utilisateurs à les changer. Chaque fois que vous faites cela, les mots de passe sont plus susceptibles d'être piratés. De plus, quelle que soit la durée d'expiration (30 jours, 6 mois, 1 an), si vous avez tenu aussi longtemps sans que le mot de passe ne soit volé, cela signifie que vous faites quelque chose de bien.
Personne ne change les serrures de sa maison chaque année pour plus de sécurité. Si personne n'a réussi à entrer dans la maison, cela signifie que vous êtes toujours le seul à avoir la clé. Vous ne les changez que lorsque vous savez qu'une personne qui ne devrait pas y avoir accès s'est procuré votre clé. Il en va de même pour les mots de passe.
2. Cessez d'utiliser des indices pour vos mots de passe
Nous faisons cela depuis si longtemps qu'il semble contre-intuitif d'y renoncer. Mais, si vous y réfléchissez bien, mettre en place des indices et des mécanismes pour obtenir ou réinitialiser un mot de passe n'a aucun sens. Le but d'un indice est justement de faciliter la recherche de la réponse.
Imaginez que vous entrez dans une banque où vous savez que Bill Gates a un compte et que vous essayez de retirer 1 million de dollars. Le guichetier vous demande votre pièce d'identité, que vous n'avez pas car vous n'êtes pas Bill Gates. Mais au lieu de vous renvoyer, on vous demande : " Quel est le nom de la ville où vous êtes né ? " C'est une information qui est beaucoup plus facile à obtenir et semble être une méthode peu efficace pour sécuriser des actifs.
Des mots de passe forts sont la première étape pour protéger les actifs numériques (et dans de nombreux cas, ces actifs numériques représentent un accès à de l'argent réel). Si quelqu'un ne connaît pas un mot de passe, il vaut mieux supposer qu'il y a une raison à cela plutôt que de lui donner un coup de main.
3. Supprimez l'authentification à deux facteurs par SMS
L'authentification à deux facteurs, voire à plusieurs facteurs, est indispensable, cela ne fait aucun doute. Mais la biométrie, comme le scan des empreintes digitales ou de la rétine, est un moyen bien plus efficace de protéger votre compte, et ce n'est plus la technologie futuriste de science-fiction que c'était autrefois. Le futur est déjà là.
Le faire par SMS est une méthode assez médiocre. En termes d'obstacles, envoyer des codes d'autorisation par SMS sur un téléphone portable revient à demander à un cheval de sauter par-dessus une haie de 15 cm de haut. Comme ce post montre que quelqu'un qui est assez intelligent pour obtenir votre mot de passe est également assez malin pour trouver un moyen de contourner les codes d'authentification textuels.
Et, bien sûr, maintenant que tout le monde a pris conscience de l'inefficacité de cette méthode, les blogueurs spécialisés dans la sécurité réfléchissent et écrivent à ce sujet différentes façons ce type de protection peut être contourné.
4. Les administrateurs doivent faire preuve de plus d'intelligence dans la manière dont ils stockent les mots de passe
En 2013, le blog Naked Security a expliqué en détail comment l'une des plus grandes sociétés de logiciels au monde, Adobe, a laissé tomber 150 millions de ses utilisateurs avec pratiques épouvantables en place pour protéger les mots de passe.
Outre le fait de mettre en lumière l'inutilité des conseils de sécurité relatifs aux mots de passe, cela a également permis de montrer clairement qu'Adobe utilisait un cryptage assez basique et n'ajoutait aucune autre protection. Il en résultait un processus de décodage simple, guère plus sophistiqué que celui que les enfants utilisaient avec leurs kits d'espionnage jouets.
Dans notre monde protégé par des mots de passe, la sécurité relève de la responsabilité de chacun. Les politiques doivent être bien pensées, les utilisateurs doivent s'y conformer et les administrateurs doivent agir dans l'intérêt des utilisateurs en ne partant pas du principe que les intrus ne peuvent pas pénétrer dans le système pour voler des mots de passe. Les nouvelles recommandations et conclusions du NIST constituent certainement un bon point de départ pour tout le monde.
Gestionnaires de mots de passe : peser le pour et le contre
Les gestionnaires de mots de passe sont un autre moyen utilisé par les particuliers et les organisations pour réduire les risques liés à l'utilisation des mots de passe. Comme les autres outils de sécurité, les gestionnaires de mots de passe peuvent être utiles, mais ils ne constituent pas une solution complète qui permettra à votre organisation d'échapper à tous les risques liés aux mots de passe. Il faut également tenir compte du fait que la plupart des gestionnaires de mots de passe se sont avérés vulnérables, voire ont fait l'objet de violations au fil des ans.
En déployant un gestionnaire de mots de passe au sein de votre équipe, vous confiez votre sécurité à ces outils. Parmi les incidents de sécurité notables, on peut citer LastPass, My1Login, KeePass, OneLogin, PasswordBox, MyPasswords, Avast Passwords et RoboForm. Tavis Ormandy, de Google Project Zero, a révélé certaines de ces vulnérabilités, notamment celles présentes dans leurs plugins de navigateur.
Nos recommandations ? Les gestionnaires de mots de passe peuvent aider à minimiser la charge informatique liée à la récupération des mots de passe, mais ils introduisent également un autre risque potentiel d'attaque de la chaîne d'approvisionnement pour les organisations.
Réduire les risques liés à l'identité dans l'ensemble de votre organisation
Détecter et répondre aux attaques en temps réel grâce à des solutions globales pour Active Directory et Entra ID.
Obtenir une démonstrationConclusion
Dans notre monde protégé par des mots de passe, une politique de sécurité solide implique les fournisseurs et les membres de chaque équipe. Les politiques doivent être bien pensées, les utilisateurs doivent s'y conformer et les administrateurs doivent agir dans l'intérêt des utilisateurs en ne partant pas du principe que les intrus ne peuvent pas pénétrer dans le système pour voler des mots de passe. Les recommandations et les conclusions du NIST constituent un bon point de départ pour tout le monde.
"FAQ sur la sécurité des mots de passe
La sécurité des mots de passe désigne les pratiques et les outils qui protègent vos mots de passe contre les pirates. Vous pouvez la considérer comme un verrou numérique qui protège vos comptes contre tout accès non autorisé. La sécurité des mots de passe implique la création de mots de passe forts, leur stockage en toute sécurité et l'utilisation de mesures de sécurité supplémentaires telles que l'authentification multifactorielle.
Sans une sécurité adéquate des mots de passe, les pirates peuvent facilement s'introduire dans vos comptes et voler vos données ou votre argent.
La sécurité des mots de passe est importante car les mots de passe faibles sont la principale cause des violations de données. Si des pirates parviennent à cracker votre mot de passe, ils peuvent accéder à vos informations personnelles, à vos données financières et à vos comptes professionnels. De mauvaises pratiques en matière de mots de passe peuvent entraîner l'usurpation d'identité, des pertes financières et une grave atteinte à la réputation.
Lorsque vous utilisez une sécurité par mot de passe forte, vous créez une barrière qui rend beaucoup plus difficile pour les cybercriminels de vous prendre pour cible.
Vous pouvez vérifier la sécurité de votre mot de passe à l'aide de divers outils de test de la force des mots de passe. Ces outils analysent la longueur et la complexité de votre mot de passe et vérifient s'il a été exposé à des violations de données. Ils vous indiquent le temps qu'il faudrait à des pirates pour cracker votre mot de passe à l'aide d'attaques par force brute. Vous devriez utiliser ces vérificateurs pour tester vos mots de passe existants et améliorer ceux qui sont faibles.
Vous pouvez sécuriser vos mots de passe en utilisant au moins 12 à 15 caractères, avec un mélange de majuscules, de minuscules, de chiffres et de symboles. Créez des mots de passe uniques pour chaque compte et ne les réutilisez jamais sur plusieurs sites. Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe complexes en toute sécurité.
Activez l'authentification multifactorielle dans la mesure du possible pour ajouter une couche de protection supplémentaire. Évitez d'utiliser des informations personnelles ou des mots courants dans vos mots de passe.
Vous pouvez améliorer la sécurité de vos mots de passe en optant pour des phrases de passe plus longues plutôt que des mots de passe courts et complexes. Utilisez des gestionnaires de mots de passe pour créer des mots de passe uniques et aléatoires pour tous vos comptes. Configurez l'authentification multifactorielle sur tous vos comptes importants, en particulier vos comptes bancaires et vos comptes de messagerie électronique.
Vérifiez régulièrement si vos mots de passe ont été compromis lors de violations de données à l'aide d'outils tels que SentinelOne ou Have I Been Pwned. Remplacez immédiatement les mots de passe faibles ou réutilisés et mettez-les à jour s'ils ont été exposés.
Les meilleures pratiques en matière de sécurité des mots de passe consistent à utiliser des mots de passe d'au moins 12 caractères comprenant différents types de caractères. Ne réutilisez jamais les mêmes mots de passe pour différents comptes et créez des mots de passe uniques pour chaque service. Utilisez des gestionnaires de mots de passe réputés pour générer, stocker et remplir automatiquement vos mots de passe en toute sécurité.
Activez l'authentification multifactorielle sur tous les comptes qui la prennent en charge. Évitez de noter vos mots de passe ou de les stocker dans des endroits non sécurisés tels que des feuilles de calcul. Vérifiez régulièrement vos mots de passe et remplacez ceux qui ont été compromis.