La protection des outils informatiques est un sujet d’actualité, dans le monde hybride dans lequel nous évoluons actuellement. Le mot de passe reste un outil concret de sécurité informatique epprouvé. En effet, depuis la création des bits et des octets, ils constituent la première ligne de défense essentielle pour la sécurité des systèmes et des réseaux. Pourtant, ils ont montré à maintes reprises d’importantes faiblesses :
- Ils sont faciles à dérober,
- Ils sont faciles à partager,
- La plupart sont faciles à deviner ou à pirater,
- Une fois compromis, ils deviennent non seulement inutiles, mais aussi dangereux s’ils sont réutilisés sur plusieurs comptes.
C’est pour ces raisons que les experts du secteur ont travaillé d’arrache-pied pendant des années pour perfectionner une large gamme d’options d’authentification multifactorielle (AMF) et de connexion sans mot de passe, poussant les pronostiqueurs et autres Cassandres à annoncer la mort du mot de passe depuis plus de dix ans. Ces prédictions semblent un peu moins farfelues aujourd’hui, d’autant plus que les entreprises ont tendance à investir massivement dans les AMF en 2021.
Et pourtant, les mots de passe restent la principale (et souvent la seule) forme d’authentification dans la plupart des systèmes contemporains. Selon les analystes de Forrester, ils restent l’option de connexion privilégiée chez 70 % des entreprises principalement parce qu’ils sont faciles à utiliser et bien connus, tout en simplifiant la création d’identifiants.
Mais attention, il ne s’agit pas de baisser les bras et d’abandonner, mais plutôt de reconnaître que les mots de passe ne sont pas près de disparaître. Par conséquent, il est nécessaire d’employer des stratégies qui peuvent minimiser les risques d vulnérabilité autant que possible. Voici sept suggestions pour y parvenir.
7 — Rechercher les mots de passe potentiellement compromis
Un bon moyen d’identifier un mot de passe faible est de rechercher des signes indiquant qu’il a été compromis à un moment donné. Les corpus de mots de passe compromis connus, comme Have I Been Pwned, constituent une excellente ressource pour vérifier les mots de passe à mesure que les utilisateurs les créent ou les utilisent. Il existe également de nombreux outils sur le marché qui exploitent les API de référentiels de mots de passe légitimes pour vérifier en temps réel s’ils ont été compromis.
6 — Oublier ce que vous savez sur les règles de complexité
Précedemment, les différents experts de la cybersécurité avaient pour habitude de recommander l’application de règles très strictes pour les mots de passe - imposant des combinaisons spécifiques de caractères spéciaux, de lettres majuscules et minuscules, de chiffres, etc. Depuis, de récentes recherches ont montré que les utilisateurs ont tendance à se plier à ces règles de manière prévisible, passant de « motdepasse » à des variantes comme « M0tDeP4$$E » ou « motdepasse! ».
Ces règles ne font qu’exaspérer les utilisateurs sans pour autant améliorer la sécurité. Par conséquent, les organismes de normalisation et les experts ont tendance à s’éloigner de ce type de règles. Néanmoins, les exigences de complexité de ces directives sur l’identité numérique ont été actualisées, en recommandant plutôt d’analyser et de blacklister les mots de passe ayant fait l’objet de violations antérieures et les éléments suivants :
- Mots du dictionnaire,
- Caractères répétitifs ou séquentiels (aaaaaa ou 1234abcd),
- Mots spécifiques au contexte, comme le nom du service, le nom de l’utilisateur et leurs dérivés.
5 — Ne pas se soucier des réinitialisations périodiques
Contrairement à ce que l’on pense généralement, l’expiration des mots de passe est de moins en moins populaire. En effet, des études ont révélé qu’elle n’apporte pas grand-chose en matière de sécurité. Il est d’ailleurs conseillé d’éviter les réinitialisations périodiques forcées en se basant sur le fait que les vérificateurs de mots de passe ne devraient pas obliger les utilisateurs à effectuer des changements arbitraires. Cependant, il est vivement recommandé de changer les mots de passe en cas de compromission avérée.
4 — Faciliter l’utilisation de mots de passe longs
Une méthode spécifique de renforcement de la sécurité consiste simplement à allonger les mots de passe. À minima, huit caractères sont nécessaires. On peut tout à fait suggérer d’exiger des longueurs minimales plus importantes et de concevoir des systèmes qui acceptent des mots de passe comportant jusqu’à 64 caractères, afin d’encourager les utilisateurs à utiliser des phrases. Ces phrases, plus longues, sont beaucoup plus difficiles à pirater ou à deviner. Ainsi, elles s’imposent comme une solution bien plus efficace que toutes les règles précédentes.
3 — Activer la AMF autant que possible
Près de trois gestionnaires de risques d’entreprise sur quatre déclarent qu’ils prévoient d’investir pour étendre l’AMF au cours de l’année à venir. Parfois, le problème n’est pas l’indisponibilité de l’AMF, mais sa non-utilisation alors qu’elle a été créé pour compléter les mots de passe.
Selon une étude récente, 78 % des administrateurs de Microsoft® 365 n’ont pas activé la fonction AMF(1) dans leurs environnements, un chiffre impressionnant. L’une des meilleures façons pour les organisations de réduire le risque lié aux mots de passe est de commencer par activer l’AMF lorsqu’elle est disponible.
2 — Donner un gestionnaire de mots de passe à vos utilisateurs
Lorsque l’AMF n’est pas disponible, certains gestionnaires de mots de passe peuvent constituer une excellente alternative pour gérer une grande partie des risques. Ils créent automatiquement des mots de passe plus longs, avec des chaînes de caractères plus complexes et aléatoires pour chaque nouveau compte créé. Il suffit ensuite aux utilisateurs de mémoriser un seul mot de passe pour exploiter le gestionnaire. En effet, ils permettent ainsi de renseigner automatiquement les champs, facilitant ainsi l’utilisation de ces solutions.
1 — Vérifier scrupuleusement les pratiques concernant les mots de passe principaux des gestionnaires de mots de passe
Si votre entreprise dispose d’un gestionnaire, il faut alors s’assurer que les mots de passe principaux des utilisateurs pour la plateforme sont bien renforcés. Pour ce faire, trois éléments sont à vérifier :
- Choisir une « passphrase » (phrase de mot de passe) longue pour le mot de passe principal du gestionnaire et la protéger contre le vol en la stockant hors ligne plutôt que sur un ordinateur ou un smartphone.
- Éviter les gestionnaires de mots de passe qui permettent de récupérer le mot de passe principal. Toute compromission par des outils de récupération de compte peut compromettre l’ensemble du référentiel de mots de passe.
- Utiliser l’authentification multifactorielle pour les applications du gestionnaire de programmes qui le peuvent.
Bien que ces sept méthodes ne soient pas infaillibles, elles offrent néanmoins une alternative plus favorable aux mots de passe. L’utilisation de données biométriques dérivées pour confirmer l’identité d’un utilisateur sur un appareil particulier sans exiger la saisie systématique d’un mot de passe, peut également permettre aux utilisateurs de protéger leurs comptes et leurs accès aux réseaux de l’entreprise.