Journée internationale du mot de passe : Quelle est la solution idéale pour se protéger ? le Commentaire de Quest Software
mai 2022 par Quest Software
À l’occasion de la Journée Internationale du Mot de Passe, qui aura lieu ce jeudi 5 mai, les entreprises comme les particuliers sont encouragés à repenser la sécurisation de leurs mots de passe. L’idéal est de trouver le meilleur rapport entre sécurité et efficacité.
Dans ce contexte, je vous propose le commentaire de Regis Alix, Senior Principal Solutions Architect de Quest Software - fournisseur mondial de logiciels de gestion des systèmes et de sécurité.
« Un mot de passe de plus de 24 caractères incluant des minuscules, majuscules, chiffres et caractères spéciaux changé fréquemment, mais sans régularité peut être considéré comme sûr. Évidemment, de telles caractéristiques rendent les mots de passe impossibles à mémoriser et inaccessibles à de nombreux utilisateurs qui ne veulent pas passer des heures à gérer cette complexité.
Ils chercheront à augmenter leur efficacité en simplifiant leurs mots de passe parfois à l’extrême. « Password » et « 123456 » demeurant les plus couramment utilisés. Tous ne sont pas aussi simples, mais une autre erreur est fréquemment commise : la réutilisation. Pensant bien faire, un utilisateur peut être tenté de créer un mot de passe moyennement complexe et de l’utiliser sur un grand nombre de ressources, sites, applications, etc. Bien entendu, si une fuite intervient sur une des ressources, un attaquant pourrait obtenir le mot de passe correspondant et tenter de l’utiliser ailleurs (password spraying : tentative de connexion en utilisant des mots de passe simples, contextuels (Printemps2022 !) ou encore issus listes d’identifiants piratés au préalable en vente sur le dark web). Plus le mot de passe est réutilisé, plus les chances qu’à un attaquant de parvenir à accéder à une nouvelle ressource sont grandes.
L’idéal est de trouver le meilleur rapport entre sécurité et efficacité. Des mots de passe moins sécurisés, mais plus faciles à retenir associés à une authentification multifacteurs (MFA) sont acceptables pour certains environnements. La mise en place d’une architecture Zero Trust peut venir compléter ce principe de façon à compartimenter au maximum les autorisations au cas où un compte soit corrompu.
Enfin, des éditeurs comme Microsoft travaillent à la mise en place d’authentification « sans mot de passe », mais cette méthode est encore loin de se démocratiser. Les applications de gestion de mots de passe, solutions pratiques, mais qui ne font que décaler le problème (il faut un mot de passe pour y accéder…) ont encore de beaux jours devant elles. »