Il y a trente ans, le plus dont on devait se souvenir pour un mot de passe était une combinaison de casier d’école ou un cadenas de bureau pour une porte. Aujourd’hui, des mots de passe sont nécessaires pour à peu près tout. Tout service sur Internet ou une application mobile a besoin de son propre mot de passe, et dans le monde des affaires, ils sont omniprésents en tant que clés du royaume sur les réseaux d’entreprise et les ressources numériques partagées. Pas de surprise, les mots de passe et leurs propriétaires continuent de représenter le maillon le plus faible de la sécurité informatique. Heureusement, bon nombre de leurs préoccupations sont également les plus faciles à changer grâce à des mesures de prévention, si les gens les appliquent souvent et correctement. Il existe plusieurs correctifs pour la multitude de mots de passe dont il faut se souvenir maintenant, mais cela ne résout toujours pas le problème fondamental de la mauvaise gestion des mots de passe par les utilisateurs ou les organisations. Et jusqu’à ce que nous atteignions un monde de clés biométriques et d’outils personnels uniques, les mots de passe resteront probablement la norme pendant longtemps. En conséquence, les entreprises et les organisations doivent constamment prendre en compte le facteur humain.
Pourquoi les politiques standard échouent
Les politiques de mot de passe standard ont tendance à s’articuler autour de quatre approches typiques pour la sécurité des noms d’utilisateur et des mots de passe:
- Assurez-vous que la longueur minimale du mot de passe est d’au moins 8 chiffres, mieux si 12 ou 16.
- Beaucoup de complexité dans le mot de passe avec des lettres majuscules et minuscules, des chiffres numériques et des caractères spéciaux.
- S’assurer que les mots de passe sont modifiés régulièrement (généralement 90 jours)
- Règles de verrouillage automatique du compte après un certain nombre de tentatives incorrectes avec un mot de passe incorrect.
Cependant, les politiques communes ci-dessus ne parviennent pas à gérer le facteur humain qui continue à enfreindre les règles attendues. Les problèmes fréquents et frustrants incluent le partage de leurs mots de passe par le personnel pour plus de commodité et un accès plus facile, l’utilisation des informations personnelles, la réutilisation du même mot de passe encore et encore, le fait de ne pas changer un mot de passe après une violation, l’écriture des mots de passe et les laisser sur un bureau ou dans ouvert, ne pas utiliser de défenses à deux facteurs et laisser l’ordinateur allumé pour éviter d’avoir à se connecter. Quiconque pratique occasionnellement des tests de bureau pour les erreurs et les vulnérabilités du personnel trouvera probablement un candidat par effraction dans un délai d’environ deux à trois jours lors d’un audit inopiné. De plus, même si les gens font tout ce qu’ils sont censés faire avec les quatre étapes de prévention courantes, la vulnérabilité par rapport à la technologie anti-sécurité actuelle est toujours élevée. Les outils de piratage de base peuvent simplifier les politiques de mot de passe ou de phrase secrète standard, en particulier avec la puissance des ordinateurs fonctionnant jour et nuit. Ces attaques se présentent sous la forme d’attaques automatisées par force brute et par dictionnaire où un programme devine toutes les possibilités, brisant les questions de sécurité avec des données glanées sur les médias sociaux à propos d’un utilisateur, tout en profitant de mots de passe simplistes comme god ou 12345. Et les plus réussis ont tendance à être toujours des attaques d’ingénierie sociale où les gens abandonnent simplement leurs mots de passe volontairement.
Soyez proactif et arrêtez de vous fier aux utilisateurs
Alors, que peut faire une entreprise? Les violations de données sont-elles inévitables? Interdire plus facile de se souvenir des mots de passe? Si l’on se fie au point de vue de la Security Exchange Commission, les attaques pour les entreprises de toute taille dépendent du moment et non du cas. Heureusement, il y en a d’autres qui peuvent être appliqués administrativement aux comptes d’utilisateurs sans compter entièrement sur ces utilisateurs pour faire leur part. Ces étapes de protection par mot de passe comprennent:
- Forcer les mots de passe faciles à retenir à 16 chiffres avec complexité – Le temps qu’il faut à un programme informatique pour casser un mot de passe à 16 chiffres avec complexité est plus de temps de calcul qu’il n’en faut à un mineur pour déchiffrer un nouveau Bitcoin. Ce genre de difficulté éloigne très rapidement les opportunistes faciles, même avec des outils logiciels. La méthode la plus efficace est, bien sûr, 64 chiffres.
- Utiliser le cryptage des mots de passe – Les réseaux qui chiffrent automatiquement les champs de mot de passe et leur transfert de données bloquent la méthode la plus courante de saisie des mots de passe, le reniflement de réseau. Tout ce que le hacker voit, c’est une tempête de personnages qui n’ont aucun sens. Ne pas utiliser de cryptage laisse littéralement le mot de passe facile à lire sur un réseau ou un canal reniflé.
- Exiger une authentification à deux facteurs – Absolument l’un des outils les plus efficaces disponibles, l’authentification multifacteur force un deuxième code de mot de passe unique à être généré à chaque connexion. Il est facile à appliquer et tout utilisateur avec un téléphone portable connecté ou une clé de jeton peut toujours se connecter sans problème.
- Couchez-vous sur plus de méthodes – Des mots de passe uniques et d’autres outils tels que la voix ou les données biométriques rendent extrêmement difficile l’accès à un système sans la coopération de l’utilisateur. Cela efface le nom d’utilisateur et le mot de passe errants qui sont écrits et volés ou entendus ou vus dans une zone publique.
- Forcer les tests d’acceptation minimum sur les nouveaux mots de passe forts – Vos propres outils serveur comme Windows Server peuvent exiger des critères minimums sur les nouveaux mots de passe dans un réseau, obligeant les utilisateurs à se conformer, qu’ils le veuillent ou non. Cependant, cela peut ne pas fonctionner pour les mots du dictionnaire, auquel cas un administrateur devrait s’appuyer sur des rappels de formation réguliers et vérifier les mots de passe pour les violations.
- Modularisation forcée – En exigeant que les employés aient des mots de passe différents pour différentes parties d’un réseau, cela bloque l’accès à l’ensemble du système même en cas de violation. Cela suit la règle du «moindre privilège d’accès». Personne ne devrait être autorisé à avoir un mot de passe universel.
- Avoir la capacité de Nuke Connected Mobile Devices – Tout appareil connecté à votre réseau doit avoir une exigence de nettoyage à distance. De cette façon, si un téléphone mobile est compromis, vous pouvez immédiatement supprimer complètement cet accès et supprimer d’autres dommages. C’est une défense très efficace contre les appareils mobiles volés ou perdus.
- Exiger la suppression automatique des comptes inutilisés et la séparation des employés – C’est un peu une évidence; tous les comptes non utilisés après 45 jours ou associés à un employé partant doivent être coupés immédiatement par défaut. Ceux-ci fournissent une porte dérobée à toute personne qui les obtient et le compte n’a pas été supprimé ou désactivé.
Les gestionnaires de mots de passe peuvent aider – Les outils de mémoire du logiciel de mot de passe offrent un excellent moyen de gérer les passes, de se souvenir des mots de passe et de stocker les mots de passe avec un canal simple et unique, mais leur force d’une approche à un compte est également leur talon d’Achille. Si le mot de passe du gestionnaire de mots de passe est compromis, tout le reste l’est aussi. Dans ces cas, disposer d’un jeton de sécurité physique ainsi que d’un MFA et d’un mot de passe peut être une meilleure approche avec un gestionnaire de mots de passe.
Il n’y a pas de solution parfaite pour les mots de passe tant qu’ils seront utilisés; l’élément humain présente toujours un risque inhérent, d’autant plus que le nombre d’utilisateurs augmente considérablement. Cependant, une organisation peut prendre de nombreuses mesures pour limiter l’accès et le risque potentiel qu’une erreur de mot de passe peut produire. Les entreprises et les organisations doivent simplement les exercer de manière proactive et tirer parti des outils dont elles disposent déjà. De plus, des couches supplémentaires supplémentaires peuvent augmenter la complexité et les défenses lorsqu’elles sont appliquées. Appelez-nous pour en savoir plus!