Les mots de passe sont toujours la voie royale vers la fuite de données

Les mots de passe ne sont pas une méthode de protection sûre. Les informations d'identification sont toujours la voie principale vers les fuites de données, et cela dans 61% des incidents !

Ce n'est pas un secret, les mots de passe ne sont pas une méthode de protection particulièrement sûre. Alors que l'authentification multi-facteurs se généralise de plus en plus, parler d'hygiène des mots de passe peut sembler un peu désuet… Et pourtant, selon le rapport Verizon 2021 Data Breach Investigations Report, les informations d'identification sont toujours la voie principale vers les fuites de données, et cela dans 61% des incidents !

Dans un monde idéal, et de plus en plus dans la réalité, tout système ou application qui contient des informations critiques telles que des informations bancaires, de santé ou la propriété intellectuelle d'une entreprise est protégé par un système à authentification multi-facteurs. Pour les systèmes qui ne le sont pas, comme les petites entreprises non critiques ou les comptes personnels d’applications en ligne, une bonne hygiène des mots de passe reste très importante.

Prenons un exemple : un compte Instagram. De nombreux jeux de noms d’utilisateur et mot de passe ont déjà fuités et se sont retrouvés dans la nature, ou plutôt en vente sur le Dark web. Nous aurions facilement tendance à nous dire que cela ne serait pas forcément utile à un attaquant… Et bien si. La raison est simple : Malheureusement de nombreux utilisateurs vont à la facilité et réutilisent les mêmes mots de passe. Ainsi, le même nom d'utilisateur ou la même adresse e-mail peut être lié à un compte bancaire personnel ou même à un système d'entreprise/de travail avec des informations sensibles voire la propriété intellectuelle de l’entreprise, l'accès VPN ou même un identifiant Active Directory (l’annuaire central référençant toutes les personnes et machines du réseau).

Il est donc important de se rappeler les principes d’hygiène de ses mots de passe pour garantir la sécurité de ses données personnelles et professionnelles :

Conseil n° 1 : ne réutilisez jamais les mots de passe, ni les dérivés du même mot de passe. 

Le concept de changement fréquent des mots de passe est en train de disparaître. De nombreux systèmes n'exigent plus de changements fréquents, car les mots de passe sont de moins en moins utilisés. Toutefois, ce n'est pas parce que ces systèmes ont cessé d'exiger le changement des mots de passe que vous avez carte blanche en ce qui concerne l'utilisation des mots de passe. 

Si les mots de passe cycliques ou à usage unique sont très utiles pour les comptes hautement privilégiés, l'intérêt de changer constamment le mot de passe d'un utilisateur standard est bien moindre si un mot de passe complexe est utilisé au départ.

Conseil n° 2 : utilisez des mots de passe complexes comportant au moins huit caractères.

La meilleure des options est d’utiliser un gestionnaire de mots de passe qui permet de stocker et d'injecter les mots de passe.  Il en existe beaucoup de bons sur le marché, mais veillez à protéger ce coffre-fort de mots de passe personnels par une authentification multi-facteurs. Ce système peut être configurer pour créer des mots de passe comportant jusqu'à 99 caractères. N'oubliez pas que vous devrez peut-être taper physiquement l'un de ces mots de passe à un moment ou à un autre, de sorte que la sélection de 99 caractères, qui est hautement protégée contre les craqueurs de mots de passe, peut s'avérer terriblement gênante. 

Il est important de trouver le juste milieu lorsqu'il s'agit de mots de passe ; ils doivent être sûrs, mais les rendre si sûrs qu'ils rendent le compte en question pratiquement inaccessible, cela ne devrait pas être l'objectif d'un gestionnaire de mots de passe.

Conseil n° 3 : si vous en avez la possibilité, utilisez un mot de passe fort et une authentification multi-facteurs. 

L'authentification multi-facteurs un outil très important pour renforcer la sécurité de vos mots de passe. Cependant, elle n'est pas une solution miracle. Ne vous attendez pas à ce que l'authentification multi-facteurs protège votre compte si vous utilisez "Password1" comme mot de passe.  Si le mot de passe initial est faible, cela ne fera qu'encourager les attaquants. Le compte sera soumis à davantage d'attaques, vous avez donc pris la décision de laisser la première porte de sécurité déverrouillée. Le meilleur conseil que nous pourrions donner est d'utiliser un mot de passe de plus de 8 caractères ET une authentification multi-facteurs.

Du point de vue de la protection de l'entreprise et des utilisateurs avec l'authentification, les mots de passe et leur sélection/utilisation correcte sont un élément clé. Les utilisateurs peuvent considérer leurs authentifications/crédits comme les clés du bâtiment.  Vous ne voudriez pas partager la clé avec qui que ce soit, et vous devriez être très préoccupé par le fait que quelqu'un s'empare de vos clés, que ce soit dans une intention malveillante ou non. 

Nous devons tous faire mieux. Malheureusement, l'époque où l'on vous lisait votre nom d'utilisateur et votre mot de passe par téléphone n'est pas encore tout à fait révolue. Il n'est même pas conseillé de les envoyer par le biais de services prétendument chiffrés comme WhatsApp.  Ces pratiques sont sans aucun doute contraires aux politiques de sécurité des entreprises - et si elles ne le sont pas, elles devraient l'être. 

En conclusion, si vous voulez vous assurer que les employés ne font pas ce genre de choses, utilisez le multi-facteurs pour TOUS vos besoins d'authentification des utilisateurs.