Dans l’authentification par mot de passe, les utilisateurs finaux confirment leur identité à l’aide d’informations de connexion, généralement un nom d’utilisateur unique et un mot de passe secret. Ces informations d’identification permettent au système de vérifier que l’utilisateur est bien celui qu’il prétend être et de le protéger contre tout accès non autorisé.

Pourtant, si vous examinez n’importe quel rapport récent sur la cybersécurité ou les violations de données, vous constaterez que ces informations d’identification ont exactement l’effet inverse.

Des milliards d’identifiants volés circulent sur le dark web et le marché clandestin prospère en accordant l’accès à ces comptes compromis. Pour les organisations, il est tout aussi exact de supposer que les informations d’identification des employés peuvent être exploitées pour accéder à des données sensibles, plutôt que pour les protéger.

Cela s’applique à tous les systèmes basés sur des mots de passe, même lorsque des garanties supplémentaires telles que l’authentification multifacteur sont en place. Les mauvais acteurs contrecarrent les couches d’authentification supplémentaires avec Bombardement rapide du MFAle détournement de session et les attaques de phishing.

Alors, de quelles options disposons-nous pour renforcer les informations d’identification et protéger les données personnelles et professionnelles, au moins jusqu’à ce que nous puissions transition vers l’authentification sans mot de passe?

Avant d’être violés, ils étaient faibles

Supposons que chaque mot de passe que nous avons utilisé soit connu des mauvais acteurs. La solution serait de tous les changer, non ? Bien que ce soit un bon début, cela ne les empêche pas de tomber à nouveau entre de mauvaises mains.

Le problème, et peut-être la racine des faiblesses inhérentes à l’authentification par mot de passe, réside dans la prévisibilité du comportement humain.

De nombreux utilisateurs utilisent par défaut des mots de passe faibles et faciles à retenir et ont tendance à réutiliser ces mêmes mots de passe sur la plupart de leurs comptes. Les attaques par mot de passe actuelles sont conçues dans cet esprit de prévisibilité.

Attaques par force brute

UN attaque de force brute est l’une des méthodes les plus courantes pour deviner le nom d’utilisateur et le mot de passe d’un utilisateur. Dans sa forme la plus élémentaire, l’attaquant essaiera par essais et erreurs toutes les combinaisons possibles de nom d’utilisateur et de mot de passe, à travers d’innombrables tentatives de connexion automatisées, jusqu’à ce que la bonne soit trouvée.

Pour rendre l’attaque plus efficace, des tactiques supplémentaires peuvent être utilisées pour réduire le nombre de suppositions. Par exemple, en utilisant une liste prédéfinie de mots de passe à haute probabilité ou en utilisant des informations sur les habitudes de création de mots de passe, comme les modèles de composition de caractères.

Alors que la plupart des politiques de mots de passe encouragent, voire obligent les utilisateurs à créer des mots de passe à haute entropie, qui sont en théorie plus difficiles à déchiffrer, les utilisateurs finaux contourneront toujours ces mesures en faveur de la commodité.

Tant que les utilisateurs finaux continueront à utiliser des mots de passe tels que « pizza123 », qui aurait été utilisé lors de la violation de Fast Company, ces attaques continueront de fonctionner.

Conseils pour sécuriser l’authentification par mot de passe

Il existe un certain nombre de mesures que nous pouvons appliquer pour minimiser les faiblesses associées aux informations d’identification des utilisateurs finaux.

La première mesure consisterait à contrer les tentatives de nom d’utilisateur et de mot de passe par force brute en limitant les tentatives de connexion infructueuses et en garantissant que le mécanisme de connexion, y compris les messages d’erreur, ne confirme pas la validité des soumissions de nom d’utilisateur.

Pour les applications Web accessibles sur Internet, ces mesures d’authentification doivent être testées en permanence via un pen-testing en tant que fournisseur de services.

Ensuite, nous devrions utiliser les exigences de complexité des mots de passe pour forcer les utilisateurs à sélectionner des mots de passe plus forts. Ces paramètres de complexité ne doivent pas se limiter aux exigences de longueur et de caractères.

Une bonne politique de mot de passe empêchera également les modèles de caractères courants et le langage leets, tout en encourageant les phrases secrètes, qui sont à la fois plus longues et plus faciles à retenir.

Enfin, même avec ces mesures en place, nous ne pouvons pas empêcher les utilisateurs de réutiliser ces mots de passe sur d’autres comptes, y compris leurs comptes personnels. La prévalence de la réutilisation des mots de passe augmente le risque de compromission.

Toute organisation qui adopte une position de présomption de violation devra vérifier de manière proactive les mots de passe des utilisateurs par rapport à une liste continuellement mise à jour des mots de passe violés.

Si le mot de passe d’un utilisateur figure dans la liste des mots de passe violés, il doit être invité à le modifier immédiatement. La même liste de mots de passe violés peut également être utilisée pour empêcher les utilisateurs de sélectionner des mots de passe compromis en premier lieu.

Sécuriser les mots de passe Active Directory et les clés du royaume

Pour la plupart des réseaux Windows, Active Directory est la solution de gestion des identités et des accès choisie. La sécurisation d’Active Directory est toujours une priorité, car elle détient les clés proverbiales du royaume. Malheureusement, Active Directory n’est pas à l’abri des défis d’authentification par mot de passe que nous avons décrits ci-dessus.

Pour renforcer davantage la sécurité des mots de passe, un outil de politique de mot de passe tiers, comme Politique de mot de passe Specopspeut imposer des exigences de complexité supplémentaires et interdire les modèles courants de création de mots de passe qui peuvent le rendre vulnérable aux attaques.

Cela inclut les modèles de parcours du clavier (qwerty), leetspeak (P@$$w0rd), les mots de base (mot de passe, administrateur, bienvenue) et les mots du dictionnaire personnalisé pour bloquer les mots spécifiques pertinents pour un utilisateur ou une entreprise (nom de l’entreprise, nom du produit). , localisation, etc.).

La politique de mot de passe Specops avec protection contre les violations de mot de passe bloque également l’utilisation de plus de 4 milliards de mots de passe uniques compromis et offre une analyse continue des mots de passe compromis.

Pour détecter l’utilisation de mots de passe compromis dans Active Directory, Specops Software propose également un outil de détection, Auditeur de mots de passe Specops. Cet outil de reporting en lecture seule analyse votre environnement Active Directory et aide à identifier les comptes utilisant plus de 950 millions de mots de passe violés connus, ainsi que d’autres vulnérabilités liées aux mots de passe.

Les faiblesses inhérentes à l’authentification par mot de passe sont là pour rester. Même lorsque des mesures de sécurité supplémentaires, comme la MFA, sont en place, nous devons toujours optimiser nos politiques de mots de passe pour contrer les mauvaises pratiques en matière de mots de passe.

Si vous n’êtes pas tout à fait prêt à utiliser le système sans mot de passe, mais que vous avez besoin de sécuriser les mots de passe existants, contactez Specops Software pour vous aider.

Sponsorisé et écrit par Logiciel Specops