Pourquoi les mots de passe sont si faciles à pirater - et comment les pirates y parviennent
Le piratage des mots de passe est un processus relativement facile. Pourquoi ? Tout se résume à la prévisibilité humaine.
Considérez ceci : la plupart des utilisateurs choisissent parmi un ensemble limité de 94 caractères sur un clavier standard, qui comprend des lettres minuscules et majuscules, des symboles et des chiffres. Et même si cela devrait logiquement conduire à six quadrillions de combinaisons potentielles de mots de passe de 8 caractères, la réalité est que les mots de passe créés par les utilisateurs sont rarement aussi complexes.
La vérité est que les humains sont des êtres d'habitudes. Et comme 55 % des utilisateurs se fient uniquement à leur mémoire pour conserver leurs mots de passe, il est facile de comprendre pourquoi il est si tentant de les réutiliser.
Et c'est là que les hackers entrent en scène. Ayant bien compris la tendance humaine à réutiliser les mots de passe, de nombreux pirates concentrent leur énergie sur l'obtention des informations d'identification des utilisateurs. Ils savent que s’ils parviennent à compromettre un site et à obtenir un nom d’utilisateur et un mot de passe, il y a de fortes chances qu’ils puissent utiliser ce même nom d’utilisateur et ce même mot de passe sur d’autres sites, y compris les sites Web d’entreprise, ainsi que ceux des banques en ligne, des magasins en ligne et des réseaux sociaux.
Élaborer une politique de sécurité des mots de passe sûre et orientée sur les risques
Il existe un certain nombre d'outils pour vous aider à déterminer l'efficacité de votre politique de sécurité des mots de passe :
- Feuilles de calcul spécialisées :certaines organisations utilisent des feuilles de calcul spécialisées pour analyser l'efficacité de leur politique de mots de passe. Ces types de feuilles de calcul vous permettent de saisir des paramètres spécifiques tels que la longueur minimale du mot de passe, les exigences de complexité et même les périodes d'expiration. Ensuite, une formule du tableur calcule le nombre de suppositions qu'un attaquant pourrait faire avant d'être contraint de changer de mot de passe, quantifiant ainsi la force de la politique de mots de passe.
- Vérificateurs en ligne de la solidité des mots de passe :une autre option pour tester la solidité de votre politique de mots de passe consiste à utiliser l'un des nombreux testeurs de mot de passe en ligne. Semblables à des feuilles de calcul spécialisées, ces outils examinent les mots de passe afin de déterminer dans quelle mesure ils sont faciles ou difficiles à déchiffrer pour les pirates informatiques. Vous devez toutefois vous rappeler de ne jamais saisir vos vrais mots de passe dans ces outils. Utilisez plutôt des mots de passe similaires, mais pas identiques, à des fins de test.
- Auditeurs de mots de passe : un vérificateur de mot de passe comme Specops Password Auditor peut vous aider à identifier et à résoudre toutes les vulnérabilités potentielles liées aux mots de passe. Outil gratuit en lecture seule, Specops Password Auditor analyse rapidement votre Active Directory, à la recherche de mots de passe faibles ou compromis. Il peut également identifier les comptes d'administrateurs privilégiés périmés ou inactifs, ce qui contribue à renforcer votre sécurité.
L'impact du MFA et des gestionnaires de mots de passe sur les risques
La mise en œuvre de l'authentification multifacteurs ajoute un niveau de sécurité à votre politique en matière de mots de passe, en aidant à bloquer la progression des pirates informatiques ayant réussi à obtenir les informations d'identification de l'utilisateur. Et même si, comme toute autre technologie de sécurité, elle n’est pas infaillible, elle a un impact énorme ; Microsoft a détecté que 99 % des comptes d’entreprise compromis ne disposaient pas d’authentification multifacteurs.
Les gestionnaires de mots de passe peuvent vous aider à minimiser votre exposition. Parce qu'ils peuvent générer et stocker une combinaison quasi infinie d'identifiants, vous renforcez efficacement la sécurité de vos utilisateurs (et de votre organisation). Les outils de ce type empêchent également les utilisateurs d'utiliser des mots de passe compromis, renforçant ainsi davantage la sécurité.
Donner à vos utilisateurs les moyens de devenir votre meilleure dernière ligne de défense
Bien que des politiques de mot de passe et des solutions techniques solides soient importantes pour votre stratégie de sécurité, vous devez considérer vos utilisateurs comme votre meilleure et dernière ligne de défense. En éduquant et en responsabilisant vos employés, ils peuvent contribuer à défendre activement la cybersécurité de votre organisation.
Mettez en œuvre les stratégies suivantes :
- Organiser régulièrement des formations de sensibilisation à la sécurité : abordez des sujets tels que les meilleures pratiques en matière de mots de passe, la détection et l'évitement des attaques de phishing et d'ingénierie sociale.
- Encourager l'utilisation des gestionnaires de mots de passe : informer les utilisateurs sur le fonctionnement et les avantages des gestionnaires de mots de passe.
- Promouvoir une culture de la sécurité : reconnaître et récompenser les employés qui identifient et signalent les menaces potentielles pour la sécurité.
- Effectuez des exercices de simulation de hameçonnage : testez régulièrement la sensibilisation des employés en envoyant de faux courriels d'hameçonnage, en fournissant un retour d'information immédiat et une formation aux employés qui tombent dans le piège.
Les mots de passe ont toujours leur importance
Malgré le discours omniprésent à propos d'une « société sans mots de passe », ces derniers ne sont pas près de disparaître : ils constituent la principale méthode d’authentification pour 88 % des sites Web et des services dans le monde.
Afin d'améliorer la sécurité de votre organisation, envisagez de mettre en œuvre une solution de mots de passe comme Specops Password Policy pour vous aider à renforcer les mots de passe et à appliquer des politiques de mots de passe strictes. Avec Specops Password Policy, vous pouvez créer des règles de mot de passe personnalisées et assurer la conformité avec les réglementations du secteur tout en maintenant la productivité des utilisateurs. De plus, vous pouvez analyser votre Active Directory en continu à l'aide de notre base de données de plus de 4 milliards de mots de passe compromis connus.
Prêt à renforcer la sécurité de vos mots de passe dès aujourd'hui ? Essayez Specops Password Policy gratuitement dès à présent.