Ce sont les bases qui vous donnent – comme les mots de passe

Il existe des pirates informatiques très intelligents, dont beaucoup ont accès aux dernières techniques et exploits. Mais à maintes reprises, nous avons constaté que les pirates n’avaient pas besoin de déployer les technologies les plus récentes et les plus performantes, car ils pouvaient atteindre leurs objectifs avec des techniques de base plus anciennes. Pourquoi s'embêter avec quelque chose de complexe ou pourquoi graver un nouvel outil en l'utilisant sur une cible de faible valeur, alors que des choses simples comme des mots de passe réutilisés peuvent donner à un pirate informatique tout ce dont ils ont besoin?

Supposons, par exemple, que vous utilisiez votre adresse de choix, nom d'utilisateur et mot de passe faciles à mémoriser chez un détaillant spécialisé, et les pirates informatiques le volent. Ou peut-être que les pirates informatiques achètent un bloc de combinaisons nom d'utilisateur / mot de passe sur le marché noir. Si vous utilisez le même nom d'utilisateur / mot de passe pour votre fournisseur de soins de santé, un pirate informatique pourra facilement accéder à vos informations personnelles les plus confidentielles et les plus précieuses.

Nous savons tous que nous ne devrions pas utiliser le même mot de passe sur plusieurs sites. Nous savons également que nous ne devrions pas utiliser le même mot de passe pour les comptes professionnels et personnels, de sorte qu'une attaque réussie de nos comptes personnels ne donne pas à l'attaquant un pied dans la porte de notre réseau d'entreprise.

Mais nous savons également que le souvenir Il est difficile d'utiliser plusieurs mots de passe et les meilleures pratiques semblent changer tout le temps. En fait, de nombreux systèmes de protection par mot de passe standard auxquels nous nous sommes habitués ont été jugés inefficaces et obsolètes. Cela est conforme aux lignes directrices de l'Institut national des normes et de la technologie (NIST) qui reposent sur le principe que la facilité d'utilisation est un élément essentiel d'une sécurité efficace.

À faire et à ne pas faire avec un mot de passe protection

Le NIST recommande aux entreprises et aux sites Web qui vérifient les informations d'identification de supprimer toutes les exigences supposées rendre un mot de passe plus difficile à déchiffrer, mais également plus difficile à mémoriser, telles que la capitalisation, les caractères spéciaux, les chiffres, etc. Au lieu de cela, le NIST recommande d'utiliser des mots de passe longs composés de mots réels et encourage les sites à permettre aux utilisateurs de saisir jusqu'à 64 caractères dans un même mot de passe.

De plus, le NIST déclare que la pratique courante consistant à exiger des mises à jour régulières du mot de passe doit être abandonnée, car les gens ont choisi des mots de passe plus faibles. En outre, le NIST demande de ne plus demander aux gens de fournir un "indice", comme le nom du premier animal de compagnie ou le nom de jeune fille de leur mère, car les pirates pourraient avoir accès à ces informations.

Le NIST recommande certaines mesures supplémentaires, telles que recouper un nouveau mot de passe avec une liste noire de mots de passe compromis et rejeter les mots de passe figurant sur la liste. Les autres critères de rejet des mots de passe incluent les caractères ou les numéros répétitifs ou séquentiels, les mots de passe obtenus lors de violations précédentes et les mots spécifiques au contexte, tels que le nom de la banque ou le nom de la personne.

Des stratégies de sécurité efficaces

Pour gérer plusieurs mots de passe, vous devez utiliser un logiciel de gestion des mots de passe, qui enregistre tous vos mots de passe et mémorise le mot de passe associé au site Web, pour que vous n'ayez pas à le faire.

Une autre tendance positive est l'utilisation accrue de . ] authentification multifactorielle (MFA) qui consiste généralement à envoyer un nombre aléatoire à votre téléphone ou à une adresse électronique, puis à entrer ce numéro afin d'accéder au site.

À mesure que les utilisateurs acceptent de plus en plus ce type de l’authentification, il est logique pour les entreprises de déployer des systèmes de contrôle d’accès qui appellent le niveau MFA approprié, selon la situation – par exemple, un employé qui tente de se connecter à partir d’un système inhabituel. Et comme nous savons que ce sont les erreurs de sécurité fondamentales qui vous reprennent, les entreprises doivent redoubler d'efforts pour sensibiliser leurs employés aux meilleures pratiques en matière de sécurité, y compris la protection des mots de passe et la prévention des attaques de phishing.

Cet article a été publié à l'origine sur DXC.technology et est republié avec une permission. DXC Technology est un partenaire SAP Platinum.