Comment des mots de passe faibles peuvent mettre votre organisation en danger ?

S’appuyer sur les mots de passe pour assurer la sécurité est devenu de plus en plus problématique. Il est pratiquement impossible de concevoir et de mémoriser un mot de passe complexe pour chaque compte et chaque site web. Pourtant, l’utilisation de mots de passe simples et faibles est une recette pour les violations de données, les prises de contrôle de comptes et d’autres formes de cyberattaques. Un rapport publié mercredi par le gestionnaire de mots de passe NordPass examine les répercussions des mots de passe faibles et propose des moyens d’améliorer votre hygiène en la matière.

Pour son rapport intitulé « The misfortunate passwords of Fortune 500 companies », les chercheurs de NordPass ont analysé des données provenant de brèches publiques de tiers qui ont touché des entreprises du classement Fortune 500. Les données comprenaient les détails de plus de 15 millions de brèches dans 17 industries différentes.

Les chercheurs ont examiné les dix principaux mots de passe utilisés dans chaque secteur, le pourcentage de mots de passe uniques et le nombre de violations de données qui ont touché chaque secteur.

Le mot « password » est toujours utilisé, à tort ou à raison, comme le mot de passe le plus courant dans tous les secteurs d’activité, notamment le commerce de détail et le commerce électronique, l’énergie, la technologie, les finances et même l’informatique et la technologie. Parmi les autres mots de passe figurant dans la liste des dix premiers, certains choix courants sont « 123456 », « Hello123 » et « sunshine ».

Environ 20 % des mots de passe découverts étaient constitués du nom exact de l’entreprise ou d’une légère variation de celui-ci, comme le nom de l’entreprise suivi d’un chiffre ou d’une année. Le secteur de l’hôtellerie et de la restauration est celui qui a enregistré le plus grand nombre de mots de passe correspondant au nom de l’entreprise ou à une variation de celui-ci.

Certains des mots de passe faibles découverts semblent presque comiques, mais cette tendance a de sérieuses ramifications. Les mots de passe faibles sont en fait l’une des principales failles à l’origine des violations de données.

À titre d’exemple, NordPass a mentionné qu’une station de traitement des eaux de Floride, victime d’une intrusion informatique le mois dernier, utilisait non seulement une version de Windows non prise en charge et dépourvue de pare-feu, mais aussi le même mot de passe TeamViewer partagé par tous ses employés.

Autre exemple, le tristement célèbre piratage de SolarWinds pourrait avoir été déclenché en partie par une personne qui a utilisé le mot de passe « solarwinds123 » pour protéger un serveur sécurisé. Bien que les responsables de l’entreprise aient nié que le mot de passe faible ait joué un rôle, SolarWinds aurait été averti de ce mauvais mot de passe par un expert en sécurité, mais aurait mis deux ans à le changer.


Pour vous protéger

Utilisez des mots de passe complexes et mettez-les à jour régulièrement. Les experts en sécurité s’accordent à dire qu’un mot de passe fort contient au moins 12 caractères, des lettres majuscules et minuscules, des chiffres et des symboles spéciaux. Pour créer rapidement et facilement un mot de passe complexe et fort, essayez d’utiliser un générateur de mots de passe, que vous trouverez dans la plupart des gestionnaires de mots de passe. Mais en raison des fréquentes violations de données qui exposent souvent les mots de passe, évitez de réutiliser vos mots de passe sur différents sites et comptes et mettez-les à jour régulièrement.

Utilisez un gestionnaire de mots de passe. Il est impossible de jongler avec un mot de passe complexe différent pour chaque compte sans aide. Envisagez l’adoption d’un gestionnaire de mots de passe au sein de votre entreprise. Un tel outil offre un moyen sûr de stocker, partager et gérer les mots de passe en un seul endroit. De nombreux fournisseurs proposent des versions professionnelles avec des fonctions de sécurité supplémentaires pour les entreprises. Outre le produit de NordPass, d’autres gestionnaires de mots de passe incluent LastPass, Dashlane, Bitwarden, 1Password et RoboForm.

Utilisez l’authentification multifactorielle ou l’authentification unique. L’authentification multifactorielle exige que vous fournissiez deux facteurs de vérification ou plus pour accéder à un compte ou une application en ligne. Le principal avantage de l’authentification multifactorielle est qu’elle renforce la sécurité de votre organisation en demandant aux utilisateurs de s’identifier autrement que par un nom d’utilisateur et un mot de passe. Une autre idée consiste à exploiter l’authentification unique et la synchronisation des mots de passe. Grâce à l’authentification unique, les employés sont moins susceptibles de revenir à de mauvaises pratiques en matière de mots de passe, comme la création de mots de passe communs ou le fait de les noter.

Éduquez vos employés. Les professionnels de l’informatique et de la sécurité doivent sensibiliser leurs collègues à l’importance de la solidité des mots de passe. Expliquez-leur pourquoi il peut être dangereux de mélanger leurs comptes professionnels et personnels. En évitant les mauvaises habitudes en matière de mots de passe, on s’assure que l’identité personnelle d’un employé est protégée et que les données de l’entreprise sont sauvegardées en cas de violation. Vous devrez peut-être aussi envisager d’établir des politiques de mots de passe à l’échelle de l’entreprise.

Laisser un commentaire

8 + 2 =