Mots de passe

Les mots de passe sont l'une des mesures de sécurité les plus élémentaires, pourtant, avec leur nombre et leur complexité croissants, il devient difficile de les gérer et de les utiliser en toute sécurité. C'est pourquoi des solutions de protection supplémentaires, telles que l'authentification à deux facteurs, sont nécessaires pour renforcer la fonction du mot de passe.

Les mots de passe

Les mots de passe sont l'une des mesures de sécurité les plus élémentaires, pourtant, avec leur nombre et leur complexité croissants, il devient difficile de les gérer et de les utiliser en toute sécurité. C'est pourquoi des solutions de protection supplémentaires, telles que l'authentification à deux facteurs, sont nécessaires pour renforcer la fonction du mot de passe.

5 minutes

5 minutes

Pourquoi les PME devraient-elles se soucier des mots de passe ?

Selon le rapport d'enquête 2017 sur les violations de données de Verizon, pas moins de 81 % des violations de données sont dues à des mots de passe faibles ou volés. Étant donné que plus de 5 milliards de mots de passe ont été divulgués en ligne, la protection de base par mot de passe est rendue inefficace.

Et si vous pensez que votre organisation n'a rien à offrir aux cybercriminels, détrompez-vous. Les PME sont l'endroit idéal pour les cybercriminels, car elles disposent de données et d'actifs plus précieux que les consommateurs, tout en étant plus vulnérables que les entreprises, qui disposent de budgets de sécurité plus importants.

En savoir plus

Ce problème est amplifié par le nombre croissant d'entreprises qui intègrent des appareils "intelligents" dans leur infrastructure informatique. Si l'Internet des objets (IoT) les aide à rendre les opérations commerciales plus rapides et plus fluides, ces appareils sont souvent vulnérables et fonctionnent avec des noms d'utilisateur et des mots de passe d'administrateur par défaut accessibles au public, ce qui constitue un risque pouvant entraîner des conséquences néfastes.

En outre, le nouveau règlement général sur la protection des données (RGPD) de l'UEstipule que les organisations de toutes tailles doivent assurer la sécurité de leurs données en mettant en œuvre des "mesures techniques et organisationnelles appropriées". Ainsi, si une violation se produit et que seuls des mots de passe simples et statiques sont en place, on peut s'attendre à une forte amende.

Dans le monde entier, les lois et réglementations relatives à la protection de la vie privée sont renforcées. Les exigences de la loi australienne sur la protection de la vie privée en matière de notification des violations de données (National Data Breach - NDB), récemment adoptée, et les réglementations de divers États américains en matière de protection de la vie privée, qui prévoient des exigences strictes en matière de notification des violations de données, renforcent les normes pour toute personne détenant des données sur les résidents de ces juridictions. 

Comment les attaquants volent-ils les mots de passe ?

1. Parmi les techniques simples et concrètes, citons le "shoulder surfing", où les attaquants observent les victimes potentielles lorsqu'elles tapent leur mot de passe.

2. Les attaquants manipulent également la "faiblesse humaine" de leurs victimes par le biais de l'ingénierie sociale. Un formulaire en ligne rédigé par un professionnel ou un courriel (attaque de phishing) provenant apparemment d'un expéditeur digne de confiance peut persuader même des utilisateurs bien formés de divulguer leurs mots de passe.

3. Les cybercriminels qui ont un pied dans le réseau de l'entreprise peuvent utiliser un logiciel malveillant pour rechercher des documents contenant des mots de passe ou enregistrer les frappes du mot de passe et envoyer ces informations à leur serveur de contrôle et de commande. Les "black hats" peuvent également extraire les fichiers de mots de passe cryptés et les craquer hors ligne.

4. Des techniques d'attaque plus exigeantes consistent à intercepter le trafic réseau des appareils des employés qui sont utilisés à distance ou dans un lieu public.

5. L'un des moyens les plus populaires pour casser la protection par mot de passe est la force brute. Des scripts automatisés essaient des millions de combinaisons de mots de passe sur une courte période de temps jusqu'à ce que la bonne combinaison soit trouvée. C'est pourquoi il est devenu nécessaire que les mots de passe deviennent plus longs au fil des ans. Plus le mot de passe est complexe, plus les cybercriminels ont besoin de temps pour le deviner.

Comment élaborer une bonne politique en matière de mots de passe ?

Pour que votre organisation dispose d'une politique de mot de passe efficace, il est conseillé de suivre des procédures spécifiques :

Que peut faire d'autre votre organisation pour protéger ses mots de passe ?

Pour mieux protéger les mots de passe des employés de votre organisation, il est recommandé d'utiliser l'authentification à deux facteurs (2FA). Cette méthode permet de vérifier l'identité du titulaire du compte à l'aide d'un code d'accès à usage unique - que l'utilisateur possède - en plus du nom d'utilisateur et du mot de passe - que l'utilisateur connaît - protégeant ainsi l'accès aux systèmes de l'entreprise même en cas de fuite ou de vol des informations d'identification. 

Les SMS et les appareils mobiles étant fréquemment la cible d'attaques de logiciels malveillants, les solutions 2FA modernes renoncent à la vérification par SMS et optent plutôt pour des notifications push, plus sûres et plus conviviales. Pour renforcer encore la sécurité du processus d'authentification, les organisations peuvent ajouter la biométrie - ce que l'utilisateur est - en mettant en œuvre l'authentification multifactorielle (MFA). 

Le puissant système 2FA d'ESET protège les mots de passe

ESET Secure
Authentication

L'authentification mobile par simple pression permet de sécuriser vos données sans problème et de répondre aux exigences de conformité. Elle utilise des notifications push conviviales pour Android et iOS, se gère facilement et se déploie rapidement en 10 minutes. Essayez-la maintenant et voyez comment elle fonctionne.