Personne n’aime les mots de passe, mais il va bien falloir faire avec. Car, malgré les prédictions, le mot de passe n’est pas mort. Les tentatives de remplacement par des données biométriques, comme avec la technologie de reconnaissance faciale et les empreintes digitales, ne donnent pas entière satisfaction, si bien que beaucoup reviennent au bon vieux mot de passe (certes frustrant).
Nombre d’experts recommandent d’utiliser au moins 8 à 12 caractères avec des caractères d’au moins trois types, la rotation régulière des mots de passe, et le blocage de l’accès au compte au bout de cinq tentatives incorrectes ou moins. Mais ces recommandations sont au mieux incomplètes, au pire complètement fausses ! Et tous ceux qui suivent toujours ces politiques obsolètes en viennent à augmenter leur niveau de risque plutôt qu’à le réduire. D’ailleurs, selon le dernier rapport Verizon Data Breach Investigations Report (DBIR), près de 50 % des cas de compromission de données constatés procédaient de mots de passe volés. Or, il suffit d’une compromission réussie des données d’une entreprise pour compromettre des millions de noms d’utilisateurs et de mots de passe.
Les entreprises doivent donc comprendre qu’une politique de mots de passe robuste est la meilleure ligne de défense contre les accès non autorisés à leur infrastructure critique, tout du moins pour le moment. Mais alors quelles sont donc les meilleures pratiques et règles de mots de passe à déployer ?
Top 15 des meilleures pratiques de gestion des mots de passe
1. Créer une phrase secrète à la fois longue et complexe. Un mot de passe est dit robuste à partir de huit caractères, avec des majuscules et minuscules, des valeurs numériques et des symboles. Aux Etats-Unis, le NIST (National Institute of Standards and Technology) recommande de créer des phrases secrètes longues, faciles à mémoriser mais plus difficiles à casser, avec 64 caractères – espaces compris.
2. Chiffrer les mots de passe. Le chiffrement garantit que, même volés par des cybercriminels, les mots de passe resteront protégés. Le mieux est de choisir le chiffrement irréversible de bout en bout.
3. Appliquer l’authentification bifactorielle. En plus des identifiants traditionnels – nom d’utilisateur + mot de passe – les utilisateurs doivent confirmer leur identité par la saisie d’un code unique reçu sur leur smartphone ou en utilisant un token USB personnalisé.
4. Ajouter des méthodes d’authentification avancées. Dans le cadre de l’authentification multifactorielle, il est possible de substituer les mots de passe à des méthodes de vérification biométrique. Ainsi le système central peut reconnaître les employés d’après leur visage, empreintes digitales, voix, iris ou pouls.
5. Tester le mot de passe. Il existe des testeurs en ligne de la robustesse d’un mot de passe. L’outil proposé par Microsoft aide à générer des mots de passe plus difficiles à craquer.
6. Eviter les mots du dictionnaire. Certains hackers utilisent des programmes sophistiqués capables d’effectuer des recherches sur des dizaines de milliers de mots du dictionnaire dans plusieurs langues. Mieux vaut donc éviter les mots de passe comportant des mots du dictionnaire.
7. Ne pas utiliser le même mot de passe pour plusieurs comptes. Cette précaution est là pour éviter, en cas de piratage d’un compte, que d’autres comptes avec les mêmes identifiants soient piratés à la suite.
8. Sécuriser l’accès à son smartphone. Il est recommandé pour sécuriser son smartphone de choisir un mot de passe robuste et/ou d’utiliser la reconnaissance faciale ou d’empreinte digitale.
9. Eviter les changements réguliers des mots de passe personnels. Pratique largement plébiscitée ces dernières années, elle n’est aujourd’hui plus de mise. Le NIST préconise en effet désormais de ne pas imposer de rotation obligatoire des mots de passe personnels (ceci ne vaut pas pour les identifiants privilégiés). Par facilité, les utilisateurs se contentent de reprendre les mêmes mots de passe ou les notent quelque part de peur de les oublier. Le NIST recommande donc de n’inviter les employés à changer de mot de passe qu’en cas de risque avéré, menace ou compromission.
10. Changer les mots de passe à chaque départ d’un employé. Il n’est pas rare qu’un ancien employé mécontent se retourne contre l’entreprise qu’il a dû quitter. Mieux vaut donc changer systématiquement les mots de passe à chaque départ.
11. Protéger les comptes des utilisateurs privilégiés. Il existe des logiciels de gestion des accès privilégiés pour protéger les mots de passe des comptes privilégiés. Contrairement aux mots de passe personnels, les identifiants privilégiés doivent être changés régulièrement, voire après chaque utilisation d’identifiants donnant accès à des informations ultra sensibles. Mieux vaut également injecter directement ces identifiants sans qu’ils puissent être lus par l’utilisateur.
12. Se déconnecter autant que possible. Il convient de se déconnecter systématiquement des applications que l’on n’utilise plus.
13. Ne pas stocker les mots de passe. Chaque fois qu’on note un mot de passe ou qu’on l’enregistre quelque part, on risque que l’information puisse être subtilisée et utilisée au détriment de l’utilisateur.
14. Ne surtout pas négliger la sécurité. Si un programme installé par un hacker espionne ce qui est tapé au clavier, rien n’y fera. Pour contrer ces tentatives, il existe des solutions anti-malware à jour et de gestion des vulnérabilités permettant de prévenir et atténuer les brèches par lesquelles des cybercriminels pourraient s’infiltrer dans l’environnement.
15. Utiliser des gestionnaires de mots de passe personnels ou privilégiés (pour entreprise). Avec un gestionnaire de mots de passe, un seul mot de passe doit être retenu.
Les mots de passe n’ont que peu évolué au fil du temps, tandis que la gestion des mots de passe, elle, a beaucoup progressé. Les mots de passe faibles, faciles à pirater, ou volés sont l’un des premiers vecteurs de compromission de données. Les entreprises ont donc tout intérêt à revoir et améliorer leurs règles de sécurité des mots de passe et leur gestion des mots de passe. Les pratiques recommandées ici doivent permettre de créer des règles solides de sécurité des mots de passe et de renforcer la protection contre les accès non autorisés.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));
Cliquez ici pour lire l’article depuis sa source.