Une foule de choses ont déjà été dites et écrites sur le sujet : les mots de passe et les politiques sur les mots de passe. Comme tout dans le monde de la technologie, de vieilles habitudes doivent ici être regardées sous le prisme des temps modernes. Et ce, afin de déterminer s'il existe aujourd’hui de meilleures manières de faire qu’auparavant.
Maintenant que le RGPD est en vigueur et qu’une attention accrue est accordée à la vie privée et aux sujets connexes, il est intéressant de se pencher sur la question et d’analyser les vieilles habitudes et, si nécessaire, de les modifier et les adapter aux nouvelles technologies.
Ce n’est pas un hasard si ce mois-ci, un document de Microsoft est arrivé dans notre messagerie, incluant de nombreuses conclusions sur le sujet. Voici un résumé des principaux éléments de ce document.
Inconvénients d'une politique des mots de passe classique
Longueur minimale : lorsque, dans une politique de mots de passe classique, vous exigez un mot de passe trop long (de plus de 10 caractères), les utilisateurs vont reproduire des schémas et intégrer des répétitions dans leur mot de passe (par ex. quatrequatrequatre ou motdepassemotdepasse). En outre, la plupart des utilisateurs veilleront à ce que leurs mots de passe contiennent le nombre exact de caractères (max. 1 ou 2 caractères plus longs), ce qui facilitera alors la tâche des pirates souhaitant deviner des mots de passe. Il est communément admis qu’un mot de passe long de qualité ou un mot de passe composé de plusieurs mots indépendants est plus difficile à deviner qu’un mot de passe court de qualité, mais le risque est que les utilisateurs prendront note des mots de passe ou adopteront un comportement qui mettra considérablement la sécurité en péril.
Obliger l’utilisation de différents caractères : chiffres, lettres, majuscules et signes de ponctuation mélangés. Vous connaissez la règle. Cette obligation va également pousser les utilisateurs à adopter un comportement prévisible. Voici une habitude récurrente : majuscule au début, un symbole à la fin et ensuite encore deux chiffres. Cela vous semble familier ? Et vu que toute habitude facilite l’identification de mots de passe, les pirates apprécieront.
Appliquer une échéance aux mots de passe : nous le recommandions aussi auparavant - demandez aux utilisateurs de modifier leur mot de passe tous les trois mois. Cette obligation donne également lieu à des habitudes très prévisibles dans le choix du mot de passe. Le choix ne se porte souvent pas sur un nouveau mot de passe mais sur une mise à jour de l’existant. Cette situation donne souvent lieu à des mots de passe bien plus faibles.
Puissance de calcul accrue, risque accru
Cela peut sembler un peu paradoxal, mais plus les ordinateurs sont puissants, plus il sera facile de contourner la protection avec un mot de passe classique. Cette puissance de calcul permet en effet de deviner de plus en plus rapidement un nombre croissant de mots de passe. Lorsque l’informatique quantique sera réalité, la possibilité de deviner un mot de passe complexe augmentera de manière exponentielle.
Que faire ?
Bannissez le mot de passe classique de votre environnement : abcdefgh, motdepasse, azerty, 23456, ... Ce sont des exemples de mots de passe fréquemment usités, mais, pour des raisons évidentes, peu sûrs. Ils devraient être interdits pour diminuer la vulnérabilité aux tentatives de piratage de mots de passe par attaque en « force brute ». Ces attaques commencent souvent par utiliser ce type de mots de passe connus. Si possible, il est donc préférable de rendre impossible l’utilisation de ce type de mots de passe classiques sur le réseau de votre entreprise.
Formez vos utilisateurs : veillez à ce que vos utilisateurs connaissent les risques. Le minimum absolu dont vous devriez convaincre vos utilisateurs est qu'ils ne peuvent utiliser les identifiants du réseau d’entreprise nulle part ailleurs. Microsoft constate chaque jour environ 12 millions (!) de tentatives de connexion avec des identifiants ayant fuité (d’autres sources et bases de données).
Enregistrez des manières alternatives pour authentifier les utilisateurs : veillez à ce que les utilisateurs disposent d'informations de protection actualisées dans leur profil (numéro de GSM, une adresse e-mail alternative, etc.) afin qu'il soit possible, dans certains cas, de demander une authentification supplémentaire par le biais de ces canaux (par ex. lors de la réinitialisation de leur mot de passe).
Activez une authentification multifacteur (éventuellement variable) sur votre environnement : l’authentification multifacteur implique que seul un mot de passe ne suffit pas à accéder à l’environnement. L’utilisateur sera invité à saisir une confirmation supplémentaire lors de son identification. Il peut le faire par le biais de différents systèmes (SMS avec code, application sur smartphone, biométrie, etc.). Selon la situation et le nombre de facteurs de risque, vous pouvez agrémenter l’authentification multifacteur afin qu’elle ne soit par exemple pas toujours nécessaire en cas de connexion sur des appareils fixes de l’utilisateur qui se trouvent dans le réseau d’entreprise sécurisé, mais qu’elle le soit lorsque ce même utilisateur tente de se connecter par le biais d'un ordinateur public dans un hôtel par exemple.
