MetaBlog

Restez informé des sujets de formation à la cyber-sensibilisation et atténuez les risques dans votre organisation.

Meilleures pratiques en matière de politique de mot de passe 2021

Meilleures pratiques en matière de politique de mot de passe 2021

sur l auteur

partager c'est prendre soin

Une politique de mot de passe solide constitue souvent la première ligne de défense contre les cyberattaques. Pourtant, de nombreuses organisations continuent de suivre des directives dépassées qui les exposent à des risques importants.

Selon le 2020 Data Breach Investigations Report de Verizon, les identifiants perdus ou volés restent la première tactique de piratage utilisée par les acteurs malveillants pour perpétrer des violations de données, les mots de passe compromis ou faibles étant responsables de 35 % de toutes les violations.

La sécurité des mots de passe n'a jamais été aussi importante, d'autant plus qu'une grande partie de la population active continue de travailler à domicile. La surface des menaces s'est étendue et il est donc crucial que les organisations mettent à jour leur politique en matière de mots de passe afin d'apprendre au personnel comment créer des mots de passe forts et fournir une défense solide contre les cybermenaces.

Les conseils antérieurs sur la sécurité des mots de passe tendaient à mettre l'accent sur l'unicité, la complexité et le changement régulier des mots de passe ; toutefois, les derniers conseils s'en éloignent, car nombre de ces pratiques pourraient en fait amener les utilisateurs à créer des mots de passe plus faibles plutôt que plus forts.

Le National Institute of Standards and Technology (NIST) s'est penché sur l'importance des politiques en matière de mots de passe en publiant la NIST Special Publication 800-63B (Digital Identity Guidelines - Authentication and Lifecycle Management). Cette publication fournit des conseils actualisés aux organisations sur la manière dont elles peuvent améliorer le processus d'authentification et réduire le risque de violation de la sécurité.

Microsoft et le Centre national de cybersécurité (NCSC) ont également mis à jour leurs conseils sur les mots de passe afin d'aider les organisations à mettre en œuvre des politiques de mot de passe capables de les défendre contre les menaces en constante évolution et de soutenir les méthodes de travail naturelles.

Pour que votre politique en matière de mots de passe soit efficace et réponde aux normes recommandées par le NIST, Microsoft et le NCSC, nous avons rassemblé toutes les dernières directives sous forme de conseils pratiques que votre organisation peut utiliser pour améliorer la sécurité des mots de passe.

Meilleures pratiques en matière de politique de mot de passe

Augmentez la longueur des mots de passe et réduisez l'importance accordée à leur complexité.

Politique en matière de mots de passe - longueur vs complexité

Par le passé, les conseils en matière de sécurité des mots de passe se concentraient essentiellement sur la création de mots de passe complexes, mais cela conduit souvent à la réutilisation de mots de passe existants avec des modifications mineures. Selon le National Cyber Security Council: "Les exigences de complexité font peser une charge supplémentaire sur les utilisateurs, dont beaucoup utiliseront des modèles prévisibles (comme le remplacement de la lettre 'o' par un zéro) pour répondre aux critères de 'complexité' requis. Les attaquants sont familiers de ces stratégies et utilisent cette connaissance pour optimiser leurs attaques." La longueur du mot de passe est souvent un facteur beaucoup plus important, car un mot de passe plus long est statistiquement plus difficile à craquer. Le NIST et Microsoft conseillent une longueur minimale de 8 caractères pour un mot de passe généré par l'utilisateur. Pour renforcer la sécurité des comptes plus sensibles, le NIST recommande aux organisations de fixer la longueur maximale des mots de passe à 64 caractères. Cela permet l'utilisation de phrases de passe. Une phrase de passe est un mot de passe composé d'une phrase ou d'une combinaison de mots. Elle aide les utilisateurs à mémoriser des mots de passe plus longs et les rend plus difficiles à deviner par force brute pour les pirates.

Filtrer les mots de passe contre les listes noires

La réutilisation des mots de passe est un problème courant et, selon une enquête Google/Harris, 52 % des personnes réutilisent le même mot de passe sur plusieurs comptes. Ce comportement risqué a entraîné une forte augmentation des attaques par bourrage d'identifiants, les pirates tentant de profiter des milliards d'identifiants compromis qu'ils peuvent acheter sur le dark web. Grâce à ces informations d'identification volées, les pirates peuvent tenter d'accéder à d'autres comptes d'utilisateurs en utilisant le même mot de passe compromis.

Pour lutter contre cette menace, le NIST recommande aux organisations d'utiliser un logiciel qui compare les mots de passe à une liste noire comprenant des mots du dictionnaire, des chaînes répétitives ou séquentielles, des mots de passe volés lors de violations antérieures, des phrases de passe couramment utilisées ou d'autres mots et modèles que les pirates pourraient deviner. Ce processus de filtrage permet aux utilisateurs d'éviter de choisir des mots de passe qui présentent un risque pour la sécurité et les signale si un mot de passe précédemment sûr est exposé à l'avenir.

Éliminer les réinitialisations régulières de mots de passe

Politique en matière de mots de passe - réinitialisation des mots de passe

De nombreuses organisations demandent à leurs employés de changer leurs mots de passe à intervalles réguliers, souvent tous les 30, 60 ou 90 jours. Cependant, des études récentes ont montré que cette approche de la sécurité des mots de passe est souvent contre-productive et peut en fait aggraver la sécurité. En général, les utilisateurs ont plusieurs mots de passe dont ils doivent se souvenir, de sorte que lorsqu'ils sont obligés de procéder à une réinitialisation périodique, ils adoptent des comportements prévisibles, comme le choix d'un nouveau mot de passe qui n'est qu'une variation mineure de l'ancien. Ils peuvent le mettre à jour en changeant un seul caractère ou en ajoutant un symbole qui ressemble à une lettre (comme ! au lieu de I). Si un attaquant connaît déjà le mot de passe existant de l'utilisateur, il ne sera pas trop difficile de craquer la version mise à jour. Le NIST recommande de supprimer cette exigence pour rendre la sécurité des mots de passe plus conviviale, et Microsoft le conseille : "Si un mot de passe n'est jamais volé, il n'est pas nécessaire de le faire expirer. Et si vous avez la preuve qu'un mot de passe a été volé, vous agirez vraisemblablement immédiatement plutôt que d'attendre l'expiration pour régler le problème."

Autoriser le copier-coller du mot de passe

Le NIST a révisé ses conseils précédents et recommande désormais l'utilisation du "copier-coller" lors de la saisie d'un mot de passe. Cela contribue à promouvoir l'utilisation de gestionnaires de mots de passe, ce qui renforce incontestablement la sécurité en permettant aux utilisateurs de générer des mots de passe plus longs et plus difficiles à craquer.

Limiter les tentatives de mot de passe

En utilisant l'attaque par force brute, les pirates peuvent tenter d'accéder à un compte en se connectant systématiquement et en essayant toutes les combinaisons possibles de lettres, de chiffres et de symboles jusqu'à ce qu'ils trouvent la bonne combinaison de mots de passe. L'un des meilleurs moyens de se défendre contre ce type d'attaque consiste à limiter le nombre de tentatives de saisie de mot de passe qu'une adresse IP donnée peut effectuer dans un laps de temps donné.

N'utilisez pas d'indices de mots de passe

Les organisations utilisent fréquemment des indices sur les mots de passe pour aider leurs utilisateurs à se souvenir de mots de passe complexes. Il peut s'agir d'une simple invite ou l'utilisateur doit répondre à une question personnelle telle que "dans quelle ville êtes-vous né ?" ou "quel est le nom de votre première école ?". Les réponses à bon nombre de ces questions peuvent facilement être trouvées sur les médias sociaux par un attaquant déterminé. Cela nuit à la sécurité et c'est pourquoi le NIST a conseillé aux organisations d'abandonner cette pratique, car elle peut potentiellement augmenter les risques de violation.

Utilisez l'authentification multifactorielle

Politique en matière de mots de passe - MFA

L'authentification multifactorielle (AMF) est l'un des moyens les plus efficaces de fournir une protection supplémentaire à un compte protégé par un mot de passe. Selon Microsoft, les comptes ont plus de 99,9 % moins de chances d'être compromis si l'authentification multifactorielle est activée. Cependant, une récente enquête de GetApp a révélé que seuls 55 % des répondants utilisent l'authentification à deux facteurs pour leurs comptes professionnels et personnels lorsqu'elle est disponible.

Il existe trois types d'authentification qui peuvent être utilisés :

  • Quelque chose que vous connaissez : Un mot de passe, un code PIN, un code postal ou la réponse à une question (ex : nom de jeune fille de la mère).
  • Quelque chose que vous avez : Un jeton, un téléphone, une carte de crédit, une carte SIM ou une clé de sécurité physique.
  • Ce que vous êtes : Des données biométriques telles que l'empreinte digitale, la voix ou la reconnaissance faciale.

Certaines de ces méthodes de vérification sont sans aucun doute plus sûres que d'autres, mais cela signifie essentiellement que même si quelqu'un vole ou devine un mot de passe, il ne pourra pas accéder au compte sans un autre facteur d'authentification.

Former le personnel aux meilleures pratiques en matière de mots de passe

Il existe de nombreux avis contradictoires sur ce qui constitue un mot de passe sécurisé. Il est donc essentiel que votre personnel comprenne les meilleures pratiques et sache parfaitement ce que votre politique en matière de mots de passe exige de lui. La formation de sensibilisation à la sécurité doit informer le personnel sur les points suivants :

  • Les risques liés à la réutilisation des mêmes mots de passe pour les comptes personnels et professionnels
  • Comment créer des mots de passe forts et sûrs
  • Comment activer le MFA
  • Comment utiliser un gestionnaire de mots de passe
La sensibilisation à la cybersécurité pour les nuls

vous pourriez apprécier de lire ces

Demander une démo

Les informations personnelles que vous nous fournissez dans ce formulaire ne seront jamais utilisées par MetaCompliance (en tant que contrôleur des données) qu'aux fins spécifiquement définies ci-dessous :

  • vous envoyer par courrier électronique le contenu que vous nous avez demandé
  • avec votre consentement, vous envoyer occasionnellement par courrier électronique des informations ciblées sur nos offres de services.
  • honorer en permanence toute demande de retrait que vous soumettez à l'avenir
  • se conformer à l'une de nos obligations légales et/ou réglementaires