La réutilisation des mots de passe est une vulnérabilité difficile à gérer pour les équipes informatiques. Le danger est souvent caché jusqu’à ce qu’il se manifeste sous la forme de pirates informatiques utilisant des informations d’identification compromises comme vecteur d’accès initial.
UN Enquête TechRepublic a révélé que 53 % des personnes admettent réutiliser leurs mots de passe, ce qui est une excellente nouvelle pour les pirates : ils peuvent voler un mot de passe et tenter leur chance avec plusieurs applications.
Verizon estime que 86% des attaques commencent par des informations d’identification compromises pour l’accès initial. Il existe plusieurs façons pour un utilisateur final de donner ses informations d’identification à un attaquant : tomber dans le piège d’un e-mail de phishing, se connecter via un réseau non sécurisé, utiliser un appareil infecté par un logiciel malveillant ou simplement choisir un mot de passe à haute probabilité qui apparaît dans un liste de mots de passe.
Une organisation peut disposer d’une certaine protection interne contre ces scénarios, mais elle n’a aucune visibilité sur ce que fait quelqu’un en dehors du réseau.
Imaginons un scénario dans lequel un pirate informatique pirate un site de réseau social ou une boutique en ligne, volant sa base de données d’informations d’identification des utilisateurs. Même s’ils sont hachés, le pirate informatique peut utiliser des outils pour déchiffrer les mots de passe et déterminer à qui ils appartiennent – et où ils travaillent. D’autres cybercriminels paieront des sommes considérables pour obtenir ces informations, car ils savent qu’il existe de bonnes chances que les gens réutilisent leurs mots de passe.
C’est la faille dans l’armure d’une politique de mot de passe forte. Des mots de passe encore plus longs et forts peuvent être compromis en dehors de votre organisation.
Combien de personnes réutilisent leurs mots de passe ?
Il est difficile de le dire avec certitude, mais il existe de nombreuses données. Quelle que soit la manière dont on considère la question, la réponse semble être multiple.
UN Étude Microsoft a découvert que 44 millions d’utilisateurs de Microsoft réutilisaient leurs mots de passe sur une période de 3 mois, tandis qu’une étude plus récente Estimations de l’enquête LastPass 62 % des travailleurs du savoir réutilisent le même mot de passe ou une variante proche.
Alors pourquoi les gens le font-ils alors que les organisations investissent autant dans la formation en cybersécurité ? La vérité est que très peu de gens cherchent à créer des risques pour leurs employeurs – c’est tout simplement la nature humaine.
Les utilisateurs finaux ont plus de mots de passe à mémoriser que jamais. L’organisation moyenne utilise 130 applications SaaS et cette adoption ne montre aucun signe de ralentissement. Bitwarden estime que 68% des internautes doivent s’en souvenir plus de 10 mots de passe84 % d’entre eux admettant avoir réutilisé leur mot de passe.
Cela offre de nombreuses opportunités aux pirates informatiques, même si la personne moyenne a tendance à supposer qu’elle ne sera jamais celle qui sera piratée.
La responsabilité ne peut pas incomber uniquement aux utilisateurs finaux : les organisations doivent intensifier leurs efforts et se protéger.
Si vous êtes intéressé par un bilan de santé rapide d’Active Directory, vous pouvez voir combien de vos utilisateurs finaux utilisent déjà l’un des plus de 950 millions de mots de passe compromis, consultez l’outil d’audit gratuit : Auditeur de mots de passe Specops.
Quatre façons d’atténuer le risque de compromission des informations d’identification
Il n’existe aucun moyen de savoir quels utilisateurs réutilisent leurs mots de passe, mais il existe des moyens de réduire l’impact potentiel si un mot de passe réutilisé est compromis. Nous recommandons une combinaison des quatre méthodes suivantes :
1. Authentification multifacteur (MFA)
La MFA peut certainement aider, car elle ajoute un autre obstacle que les attaquants doivent franchir après avoir obtenu l’accès via un mot de passe compromis. Cependant, un pirate informatique déterminé peut trouver une solution de contournement pour toute forme d’authentification. L’AMF peut être vulnérable à bombardement rapide attaques, ce n’est donc pas une sécurité contre les mots de passe réutilisés.
2. Formation
La formation à la cybersécurité n’est pas nouvelle. Les organisations organisent des formations de sécurité et de sensibilisation depuis longtemps et cela n’a clairement pas réduit le nombre d’utilisateurs finaux réutilisant leurs mots de passe. La sensibilisation est toujours utile, mais les organisations ne peuvent pas compter sur la formation pour modifier de manière permanente les comportements des utilisateurs.
3. Débarrassez-vous des mots de passe
Pourquoi ne pas abandonner complètement le mot de passe ? Cela peut sembler un scénario de rêve pour les équipes informatiques, mais il est rarement réalisable. Pour la plupart des organisations, supprimer complètement les mots de passe est une tâche complexe et la meilleure chose à espérer est une réduction du nombre de mots de passe utilisés et une plus grande attention portée aux comptes privilégiés.
4. Vérifiez les mots de passe compromis
Les équipes informatiques ne peuvent pas contrôler ce que font les gens en dehors du travail. Il est donc essentiel de disposer d’un outil permettant de vérifier si les mots de passe ont été compromis. Azure AD (Entra ID) est une option populaire, bien qu’elle vérifie uniquement les mots de passe lors des réinitialisations ou des modifications.
Cela peut laisser suffisamment de temps à un attaquant pour agir – les données de IBM affirme qu’il faut 204 jours pour découvrir une violation et 73 jours pour la contenir en moyenne. Organisations avec des mots de passe configuré pour ne jamais expirer il faut en particulier un moyen de vérifier en temps réel.
Analyses automatisées et continues des mots de passe compromis
Pendant que le mot de passe outils d’audit peut offrir un instantané de votre Active Directory, Politique de mot de passe Specops avec Breached Password Protection offre une protection continue à votre organisation contre la menace constante des mots de passe compromis.
Il protège vos utilisateurs finaux contre l’utilisation de plus de 4 milliards de mots de passe compromis connus (et en constante augmentation), y compris les données provenant de fuites connues et les mots de passe utilisés dans des attaques de mots de passe en direct.
Vous souhaitez savoir comment la politique de mot de passe Specops peut s’adapter à votre organisation et vous aider à vous protéger contre la réutilisation des mots de passe ? Contactez-nous pour en savoir plus.
Sponsorisé et écrit par Logiciel Specops.