Il ne fait aucun doute que l’authentification multifactorielle a gagné en popularité ; elle est désormais souvent exigée sur les lieux de travail, en particulier dans les secteurs sensibles comme la banque, la santé et les forces de l’ordre – et la législation l’encourage. Cette approche repose sur trois facteurs principaux : ce que vous avez – des dispositifs tels qu’une clé USB ou une carte magnétique ; qui vous êtes – des données biométriques telles que l’identification faciale, vocale ou d’empreintes digitales ; et ce que vous savez – des mots de passe.
Malheureusement, bien qu’il semble être le plus élémentaire, ce troisième facteur n’est souvent pas suffisamment pris en compte, car trop de personnes se fient à la croyance que les autres facteurs d’authentification peuvent compenser des mots de passe faibles ou mal protégés. Mais il est important de se rappeler que les autres parties du processus peuvent présenter des failles, même si elles reposent sur une technologie avancée.
Après tout, plus de 50 % des cyberattaques menées en 2021 ont résulté du vol d’informations d’identification, selon le rapport d’enquête sur les violations de données 2022 de Verizon. C’est une bonne occasion pour les employeurs de réexaminer leurs politiques de mots de passe, même s’ils ont ce qu’ils pensent être des directives strictes en matière de mots de passe et des systèmes MFA sophistiqués en place.
Des moyens faciles de créer des mots de passe difficiles
De nombreuses organisations ont des exigences concernant les mots de passe, comme le nombre et les types de caractères qu’ils doivent contenir. Mais cela ne se traduit pas nécessairement par des mots de passe forts. Les employés peuvent toujours utiliser des mots évidents, comme le nom de l’entreprise, et se contenter de mettre une lettre en majuscule ou d’ajouter la date. Si les pirates obtiennent des versions partielles de ces mots de passe, ils sont faciles à remplir et à compléter – ou à deviner tout simplement.
Les organisations devraient encourager les employés à utiliser une phrase ou une expression plutôt qu’un mot pour lutter contre ce problème, car ces mots de passe sont plus difficiles à déchiffrer ou à deviner. Dans la mesure du possible, les mots de passe doivent être rédigés dans une langue étrangère, en particulier une langue qui utilise des caractères différents, car la plupart des traceurs de mots de passe ne fonctionnent qu’en anglais. En outre, les organisations doivent interdire certains mots, comme le nom de l’entreprise ou du service, dans les mots de passe. Les systèmes peuvent alors être configurés pour empêcher certains mots de faire partie des mots de passe.
Bien que cela puisse paraître contre-intuitif, une autre façon d’éviter les mots de passe faibles est de ne pas demander aux employés de les changer trop fréquemment. Si des changements fréquents sont nécessaires, les employés ne modifient souvent pas le mot de passe de manière significative ; ils ajoutent simplement un chiffre ou une lettre, ce qui va à l’encontre de l’objectif de rotation des mots de passe. À moins que l’on ne soupçonne une violation, deux fois par an suffisent souvent pour exiger un changement.
Comment protéger les mots de passe
Les mots de passe ne doivent pas être stockés sur les disques durs des ordinateurs, dans les courriers électroniques ou notés sur des morceaux de papier collés à l’écran. Les organisations devraient plutôt investir dans des coffres-forts pour les mots de passe. Il existe pour cela de nombreuses solutions faciles à utiliser basées sur le cloud, qui fonctionnent bien sur de nombreux lieux de travail. Cependant, dans les domaines très sensibles, comme l’application de la loi, la finance ou le gouvernement, il est préférable que les coffres à mots de passe soient situés sur le réseau local, empêchant ainsi l’accès des personnes extérieures. Ces coffres-forts sont moins conviviaux, surtout avec l’essor du travail à distance et du travail hybride, mais ils remplissent toujours une fonction importante dans de nombreux cas.
Même si les mots de passe sont forts, les entreprises doivent éviter de les utiliser sur plusieurs comptes. Si un acteur malveillant met la main sur un mot de passe largement utilisé, il peut donner accès à plusieurs comptes, ce qui accroît les dommages causés par une violation ou une attaque.
Éviter la réutilisation des mots de passe est souvent un défi lorsqu’il s’agit de l’intégration, lorsque les employés reçoivent généralement des mots de passe temporaires et sont ensuite invités à les changer après s’être connectés à un système. Je constate souvent qu’une organisation, par souci de simplicité, utilise le même mot de passe temporaire pour chaque nouvel employé. Cela crée une situation où le même mot de passe est utilisé pour plusieurs comptes, notamment parce que les nouveaux employés ne choisissent pas tous un nouveau mot de passe. Cela ouvre également le risque d’attaques d’initiés, car les anciens employés pourraient facilement se souvenir et utiliser ce mot de passe pour accéder aux comptes des nouveaux employés. Et les anciens employés, qui se souviennent du mot de passe, pourraient l’utiliser pour accéder à des informations auxquelles ils ne sont plus autorisés.
Enfin, les entreprises doivent adopter une approche proactive de l’hygiène des mots de passe, en obtenant une visibilité sur l’ensemble de leurs mots de passe et en testant leur solidité réelle. Il existe des outils automatisés que les entreprises peuvent utiliser pour déterminer combien de personnes utilisent le même mot de passe ou une variante du même mot de passe. Les entreprises devraient également produire des versions hachées des mots de passe dans leurs systèmes, puis évaluer combien de temps ou de ressources il faudrait pour en extraire les versions en texte clair.
Les mots de passe sont peut-être élémentaires. Mais cela les rend particulièrement importants. Même si les processus d’authentification biométriques et autres progressent, les mots de passe resteront essentiels et constitueront l’un des domaines de la cybersécurité dans lequel chaque utilisateur peut faire la différence pour protéger son organisation.