Verrouillage par mot de passe

Soyons réalistes : les mots de passe peuvent être pénibles. Les options complexes et uniques sont difficiles à retenir, mais réutiliser le même mot de passe sur plusieurs comptes est encore pire. La solution? Pensez moins aux chaînes de caractères aléatoires et davantage aux mots ou expressions entiers.

Nous savons tous pourquoi les mots de passe sont si importants. Selon Verizon, 83 % des accès initiaux aux attaques sont obtenus grâce à des informations d'identification volées. Il existe des règles évidentes pour se protéger, comme par exemple la nécessité d'éviter les « promenades au clavier » (comme « qwerty » ou « 12345 »), une date importante, ou encore une équipe sportive préférée ou le nom d'un proche.

Ce sont des signaux d’alarme majeurs car ils sont relativement faciles à deviner. Alors, rendre les mots de passe plus complexes est-il la solution ?

Difficile à retenir

Vous pourriez penser que la force réside dans une collection apparemment aléatoire de lettres (certaines en majuscules), de chiffres et de caractères spéciaux. Le problème est que ces mots de passe ne sont pas aussi aléatoires qu’on pourrait le penser. Le comportement des utilisateurs entraîne une convergence des mots de passe, plutôt qu'une divergence : ils deviennent de plus en plus similaires, grâce aux mêmes vieux modèles qui reviennent à plusieurs reprises.

Publicité

Pourquoi cela arrive-t-il? Parce que ces mots de passe complexes sont difficiles à mémoriser, ils ont trouvé des moyens de répondre aux exigences de sécurité, souvent en utilisant par défaut les mêmes modèles familiers. Par exemple:

  • Un mot commun du dictionnaire ou un clavier constitue la phrase racine.
  • Premières lettres majuscules
  • Numéro(s) et un caractère spécial à la fin
  • Substitutions de caractères courantes (par exemple, @ pour a ou 0 pour o)

Selon cette approche, le mot « compliqué » pourrait être rendu par « Complic@ted1 ! ». Cela pourrait être accepté dans la plupart des organisations, en respectant les politiques de mot de passe Active Directory par défaut.

Cependant, les attaquants connaissent très bien ces stratégies, faciles à deviner pour les logiciels informatiques. Les criminels utilisent leurs connaissances à leur avantage, en optimisant leurs attaques par force brute et par dictionnaire hybride.

Force en longueur

Il est facile de comprendre pourquoi les utilisateurs pourraient être tentés d’utiliser le même mot de passe pour plusieurs comptes. Bitwarden a trouvé 68% des internautes gèrent les mots de passe de plus de 10 sites Web – et 84 % d’entre eux admettent avoir réutilisé leurs mots de passe. Ce augmente considérablement la probabilité qu'un mot de passe soit compromis.

Un moyen simple de renforcer tous les mots de passe de votre répertoire actif consiste à les rendre plus longs, ce qui les rendra plus difficiles à déchiffrer. attaques par force brute et par dictionnaire hybride.

Cela peut être efficace : à bien des égards, plus le mot de passe est long, plus il est fort. Cependant, nous sommes une fois de plus confrontés au problème de la complexité. Les longues chaînes de caractères aléatoires sont très difficiles à mémoriser pour les utilisateurs finaux, ce qui peut nous ramener à la case départ.

La solution consiste à concevoir des mots de passe longs dont vous vous souviendrez réellement. C'est là que les phrases secrètes entrent en jeu. Prenons un exemple : ci-dessous, nous avons deux mots de passe potentiels, l'un ne comportant que huit caractères, l'autre presque trois fois plus grand, soit 21 caractères.

Réfrigérateur-Éléphant-Téléphone

84″fhg#l

Le deuxième mot de passe n'est-il pas plus sécurisé car plus complexe ? Pas nécessairement.

Le premier exemple a une longueur sur le côté. Peut-être plus important encore, de lequel des deux allez-vous réellement vous souvenir ?

Pour la plupart des utilisateurs, ce sera la phrase la plus longue.

Les autorités américaines ont reconnu les avantages des phrases secrètes. Le FBI donne des indications du National Institute of Standards and Technology (NIST) indiquant que la longueur du mot de passe est plus importante que la complexité. « Au lieu d’utiliser des mots de passe courts et complexes, utilisez des phrases secrètes qui combinent plusieurs mots et comportent plus de 15 caractères… Des phrases secrètes fortes peuvent également aider à protéger contre les violations de données personnelles », note le FBI.

Meilleurs conseils pour une phrase secrète solide

Le passage des mots de passe aux phrases secrètes peut sembler intimidant, mais certaines approches simples peuvent aider. Par exemple, le Royaume-Uni Centre national de cybersécurité recommande de combiner trois mots aléatoires, tandis que le Centre canadien pour la cybersécurité indique qu'une phrase secrète doit contenir au moins quatre mots et 15 caractères.

Les générateurs de mots aléatoires peuvent être utiles, tandis que vous pouvez même suggérer aux utilisateurs finaux de mal orthographier délibérément l'un des mots, à condition qu'il soit toujours mémorisable. Voici quelques conseils pour créer de bonnes phrases secrètes :

  1. Soyez imprévisible : le caractère aléatoire est la clé des phrases secrètes. Vous ne voulez pas choisir trois mots liés, comme « Michael-Jordan-Basketball ». Il en va de même pour les mots ou expressions liés à votre organisation ou secteur d’activité spécifique – c’est pourquoi avec Politique de mot de passe Specopsvous pouvez ajouter des dictionnaires personnalisés de mots bloqués à votre Active Directory.
  1. Ne jamais réutiliser : cela peut sembler évident, mais c'est une habitude difficile à éliminer. Avec un outil comme Specops Password Policy, vous pouvez analyser en continu votre Active Directory pour les phrases secrètes compromises.
  1. Activer MFA : plusieurs couches d'authentification sont essentielles pour renforcer votre sécurité, impliquant peut-être une phrase secrète, un code à usage unique et une mesure biométrique, comme un scan facial. Bien sûr, ce n'est pas infailliblemais cela rend la vie des pirates encore plus difficile.

Améliorer la sécurité et l’expérience utilisateur

Une partie du problème réside dans le simple inconvénient lié au développement de mots de passe sécurisés. C'est pourquoi Politique de mot de passe Specops est simple d'un point de vue administrateur : vous pouvez choisir de prendre en charge des phrases secrètes plus longues ou simplement de conserver des mots de passe plus traditionnels et de décider comment présenter les informations à l'utilisateur final.

Il est également crucial de développer une expérience utilisateur fluide et simple. Le client d'authentification Specops offre des commentaires dynamiques, y compris des informations en temps réel pour aider les utilisateurs à respecter la nouvelle politique. Vous pouvez également proposer un vieillissement basé sur la longueur, qui « récompense » les utilisateurs en leur accordant plus de temps entre les réinitialisations lorsqu'ils choisissent un mot de passe plus long.

Si vous souhaitez passer des mots de passe aux phrases secrètes avec un minimum de tracas, Parlez à un expert aujourd'hui pour savoir comment la politique de mot de passe Specops pourrait s'adapter à votre organisation.

Sponsorisé et écrit par Logiciel Specops.

5/5 - (276 votes)
Publicité
Article précédentVoici quand les Samsung Galaxy Z Fold 6, Flip 6 et Galaxy Ring seront lancés
Article suivantLe DLC Elden Ring rendu plus facile avec la nouvelle mise à jour de calibrage PS5 et PS4
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici