Mots De Passe Violés

Un rapport récent a révélé que le fournisseur de commerce électronique Shopify utilise des politiques de mot de passe particulièrement faibles sur la partie de son site Web destinée aux clients. Selon le rapport, Shopify demande à ses clients d’utiliser un mot de passe d’au moins cinq caractères et qui ne commence ni ne se termine par un espace.

Selon le rapport, les chercheurs de Specops ont analysé une liste d’un milliard de mots de passe connus pour avoir été piratés et ont constaté que 99,7 % de ces mots de passe respectent les exigences de Shopify. Bien que cela ne signifie pas que les mots de passe des clients Shopify ont été piratés, le fait qu’un si grand nombre de mots de passe piratés connus respectent les exigences minimales de Shopify en matière de mot de passe souligne les dangers associés à l’utilisation de mots de passe faibles.

Table des matières hide
1 Le danger des mots de passe faibles dans votre Active Directory
2 Éviter les exigences PCI avec un système de paiement tiers
3 Commencez à renforcer la sécurité informatique en interne

Le danger des mots de passe faibles dans votre Active Directory

Une étude récente de Hive Systems fait écho aux dangers de l’utilisation de mots de passe faibles. L’étude examine le temps qu’il faudrait pour forcer brutalement des mots de passe de différentes longueurs et avec différents niveaux de complexité. Selon l’infographie de Hive Systems, un mot de passe à cinq caractères peut être déchiffré instantanément, quelle que soit sa complexité. Étant donné la facilité avec laquelle des mots de passe plus courts peuvent être déchiffrés par la force brute, les organisations devraient idéalement exiger des mots de passe complexes d’au moins 12 caractères.

Même si vous deviez mettre de côté les implications de sécurité associées à l’utilisation d’un mot de passe à cinq caractères, il existe un problème potentiellement plus important : la conformité réglementaire.

Il est tentant de penser que la conformité réglementaire est le genre de chose dont seules les grandes entreprises doivent se soucier. En tant que tel, de nombreux petits vendeurs indépendants qui ouvrent des comptes Shopify peuvent parfaitement ignorer les exigences réglementaires qui y sont associées. Cependant, l’industrie des cartes de paiement exige que toute entreprise qui accepte les paiements par carte de crédit respecter les normes de sécurité PCI officielles.

Publicité

Éviter les exigences PCI avec un système de paiement tiers

L’un des avantages de l’utilisation de Shopify ou d’une plate-forme de commerce électronique similaire est que les détaillants n’ont pas à exploiter leurs propres passerelles de cartes de paiement. Au lieu de cela, Shopify gère le traitement des transactions au nom de son client. Cette externalisation du processus de paiement protège les propriétaires d’entreprises de commerce électronique de bon nombre des exigences PCI.

Par exemple, les normes PCI exigent des commerçants qu’ils protègent les données stockées du titulaire de la carte. Cependant, lorsqu’une entreprise de commerce électronique externalise son traitement des paiements, elle ne sera généralement pas en possession des données de carte de crédit du client. En tant que tel, le propriétaire de l’entreprise peut efficacement éviter l’obligation de protéger les données du titulaire de carte s’il n’est jamais en possession de ces données en premier lieu.

Cependant, une exigence PCI qui pourrait être plus problématique est l’exigence d’identifier et d’authentifier l’accès aux composants du système (Exigence 8). Bien que les normes de sécurité PCI ne spécifient pas de longueur de mot de passe requise, le Guide de référence rapide PCI DSS indique à la page 19 que « Chaque utilisateur doit avoir un mot de passe fort pour l’authentification. » Compte tenu de cette déclaration, il serait difficile pour un détaillant de commerce électronique de justifier l’utilisation d’un mot de passe à cinq caractères.

Commencez à renforcer la sécurité informatique en interne

Ceci, bien sûr, soulève la question de savoir ce que les entreprises de commerce électronique peuvent faire pour améliorer la sécurité globale de leur mot de passe. La recommandation la plus critique serait peut-être de reconnaître que les exigences minimales en matière de mot de passe associées à un portail de commerce électronique pourraient être inadéquates. Du point de vue de la sécurité et de la conformité, il est généralement conseillé d’utiliser un mot de passe plus long et plus complexe que le minimum requis.

Une autre chose que les détaillants de commerce électronique devraient faire est d’examiner sérieusement ce qui peut être fait pour améliorer la sécurité des mots de passe sur leurs propres réseaux. Cela est particulièrement vrai si des données client sont stockées ou traitées sur votre réseau. Selon une étude de 2019, 60 % des petites entreprises ferment leurs portes dans les 6 mois suivant le piratage. En tant que tel, il est extrêmement important de faire ce que vous pouvez pour prévenir un incident de sécurité et une grande partie de cela implique de vous assurer que vos mots de passe sont sécurisés.

Le système d’exploitation Windows contient des paramètres de stratégie de compte qui peuvent contrôler la longueur du mot de passe et les exigences de complexité. Bien que ces contrôles soient indéniablement importants, la politique de mot de passe Specops peut aider les organisations à créer des politiques de mot de passe encore plus solides que ce qui est possible en utilisant uniquement les outils natifs intégrés à Windows.

L’une des fonctionnalités les plus convaincantes offertes par Specops Password Policy est sa capacité à comparer les mots de passe utilisés au sein d’une organisation à une base de données de milliards de mots de passe connus pour avoir été compromis. Ainsi, s’il s’avère qu’un utilisateur utilise un mot de passe compromis, le mot de passe peut être modifié avant qu’il ne devienne un problème.

La politique de mot de passe Specops permet également aux organisations de créer une liste de mots ou d’expressions interdits qui ne doivent pas être inclus dans les mots de passe. Par exemple, un administrateur peut créer une stratégie pour empêcher les utilisateurs d’utiliser le nom de votre société dans leur mot de passe.

De plus, les organisations peuvent utiliser Specops Password Policy pour bloquer les techniques que les utilisateurs utilisent couramment pour contourner les exigences de complexité des mots de passe. Cela peut inclure l’utilisation de caractères répétés consécutifs (tels que 99999) ou le remplacement de lettres par des symboles similaires (tels que $ au lieu de s).

En fin de compte, la politique de mot de passe Specops peut aider votre organisation à créer une politique de mot de passe beaucoup plus sécurisée, ce qui rend plus difficile pour les cybercriminels l’accès à vos comptes d’utilisateurs. Vous pouvez tester gratuitement la politique de mot de passe Specops dans votre Active Directory, à tout moment.

Rate this post
Publicité
Article précédentAnime Battlegrounds X Codes (septembre 2022)
Article suivantMicrosoft investit dans le dernier projet du fondateur d’Uber, CloudKitchens
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici