Passwor

Dans le monde numérique d’aujourd’hui, la sécurité des mots de passe est plus importante que jamais. Alors que la biométrie, les mots de passe à usage unique (OTP) et d’autres formes d’authentification émergentes sont souvent vantés comme des remplacements du mot de passe traditionnel, aujourd’hui, ce concept est plus un battage marketing qu’autre chose.

Mais ce n’est pas parce que les mots de passe ne vont nulle part de sitôt que les entreprises n’ont pas besoin de moderniser leur approche de l’hygiène des mots de passe pour le moment.

Table des matières hide
1 La crise des informations d’identification compromises
2 Une approche moderne de la sécurité des mots de passe
3 Le rôle des solutions de filtrage des informations d’identification
4 Pas de substitut pour Dynamic
5 La voie à suivre

La crise des informations d’identification compromises

Comme Microsoft l’équipe de sécurité l’a mis, « Tout ce qu’il faut, c’est un identifiant compromis … pour provoquer une violation de données. » Associé au problème rampant de la réutilisation des mots de passe, les mots de passe compromis peuvent avoir un impact significatif et durable sur la sécurité de l’entreprise.

En fait, des chercheurs de la Virginia Tech University ont découvert que plus de 70% des utilisateurs utilisaient un mot de passe compromis pour d’autres comptes jusqu’à un an après sa fuite initiale, 40% réutilisant des mots de passe divulgués il y a plus de trois ans.

Bien que le défi des informations d’identification compromises ne soit pas vraiment nouveau pour la plupart des responsables informatiques, ils peuvent être surpris d’apprendre que leurs tentatives pour résoudre le problème créent souvent davantage de vulnérabilités de sécurité.

Publicité

Voici quelques exemples d’approches traditionnelles qui peuvent affaiblir la sécurité des mots de passe:

  • Complexité du mot de passe obligatoire
  • Réinitialisations périodiques du mot de passe
  • Limitations sur la longueur du mot de passe et l’utilisation des caractères
  • Exigences relatives aux caractères spéciaux

Une approche moderne de la sécurité des mots de passe

Compte tenu des vulnérabilités associées à ces anciennes approches, le National Institute of Standards and Technology (NIST) a révisé ses recommandations pour encourager les meilleures pratiques de sécurité des mots de passe plus modernes. À la racine des recommandations les plus récentes du NIST se trouve la reconnaissance du fait que les facteurs humains entraînent souvent des failles de sécurité lorsque les utilisateurs sont obligés de créer un mot de passe qui correspond aux exigences de complexité spécifiques ou de le réinitialiser périodiquement.

Par exemple, lorsqu’on leur demande d’utiliser des caractères spéciaux et des nombres, les utilisateurs peuvent sélectionner quelque chose de basique comme « P @ ssword1; » un identifiant qui est clairement commun et facilement exploitable par les pirates. Une autre approche héritée qui peut avoir un effet négatif sur la sécurité est les politiques qui interdisent l’utilisation d’espaces ou de divers caractères spéciaux dans les mots de passe. Après tout, si vous voulez que vos utilisateurs créent un mot de passe fort et unique dont ils se souviendront facilement, pourquoi imposeriez-vous des limites à ce que cela pourrait être?

En outre, le NIST recommande désormais de ne pas réinitialiser périodiquement les mots de passe et suggère que les entreprises n’exigent que les mots de passe soient modifiés en cas de preuve de compromission.

Le rôle des solutions de filtrage des informations d’identification

Alors, comment les entreprises peuvent-elles surveiller les signes de compromis? En adoptant une autre recommandation du NIST; à savoir, que les organisations filtrent les mots de passe par rapport aux listes noires contenant des informations d’identification couramment utilisées et compromises de manière continue.

Cela peut sembler assez simple, mais il est important de sélectionner la bonne solution de filtrage des informations d’identification compromises pour le paysage actuel des menaces accrues.

Pas de substitut pour Dynamic

Il existe de nombreuses listes noires statiques disponibles en ligne et certaines entreprises organisent même la leur. Mais avec de multiples violations de données se produisant en temps réel, les informations d’identification nouvellement compromises sont continuellement publiées sur le Dark Web et disponibles pour les pirates informatiques dans leurs attaques en cours. Les listes noires existantes ou celles qui ne sont mises à jour que périodiquement tout au long de l’année ne sont tout simplement pas à la hauteur de cet environnement à enjeux élevés.

Enzoic’s solution dynamique filtre les informations d’identification par rapport à une base de données propriétaire contenant plusieurs milliards de mots de passe exposés dans des violations de données et trouvés dans des dictionnaires de craquage. Étant donné que la base de données est automatiquement mise à jour plusieurs fois par jour, les entreprises ont la certitude que la sécurité de leurs mots de passe évolue pour répondre aux dernières informations sur les violations sans nécessiter de travail supplémentaire du point de vue informatique.

Le filtrage des informations d’identification à la fois lors de leur création et la surveillance continue de leur intégrité par la suite est également un élément important d’une approche moderne de la sécurité des mots de passe. Si un mot de passe précédemment sécurisé est compromis sur la route, les entreprises peuvent automatiser l’action appropriée, par exemple, forcer la réinitialisation du mot de passe à la prochaine connexion ou fermer complètement l’accès jusqu’à ce que le service informatique étudie le problème.

La voie à suivre

Bien que les directives du NIST informent souvent les recommandations des meilleures pratiques dans le secteur de la sécurité, il appartient en dernier lieu aux responsables de la sécurité de déterminer ce qui convient le mieux à leurs besoins uniques et d’adapter leurs stratégies en conséquence.

En fonction de votre secteur d’activité, de la taille de votre entreprise et d’autres facteurs, certaines des recommandations ne conviennent peut-être pas à votre entreprise.

Mais avec le barrage quotidien de cyberattaques ne montrant aucun signe de diminution et étant fréquemment lié à des vulnérabilités de mot de passe, il n’est pas facile d’imaginer une organisation qui ne bénéficierait pas de la couche de sécurité supplémentaire offerte par le filtrage des informations d’identification.

Apprenez-en davantage sur l’intelligence dynamique des menaces de mots de passe d’Enzoic et sur la manière dont elle peut vous aider à redémarrer votre approche de l’hygiène des mots de passe ici.


Rate this post
Publicité
Article précédentTaxes Bitcoin en 2021: Un guide des règles fiscales pour la crypto-monnaie
Article suivantDécouvrez le gadget Apple Money, l’entrée d’Apple dans le monde trépidant de l’extraction et du stockage de crypto-monnaie!
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici