35 % des cyberattaques sont encore attribuables à la violation des mots de passe. Les informations d’identification perdues ou volées restent en effet l’une des principales tactiques d’attaque utilisées par les cybercriminels pour effectuer des fraudes et des violations de toutes sortes.
Au cours de la dernière année, lorsque les activités professionnelles ont alterné entre la maison et le bureau, la sécurité des mots de passe est devenue encore plus importante. Le travail intelligent a sans aucun doute élargi la surface d’attaque, soulignant à quel point leur bonne utilisation est déterminante pour construire une défense solide contre les cybermenaces.
Ces dernières années, nous nous sommes habitués à appliquer certaines règles, suggérées par de nombreuses bonnes pratiques, utiles pour créer des mots de passe sécurisés. Des règles qui prévoient de se concentrer sur leur unicité, leur complexité et, bien sûr, de les mettre à jour régulièrement. Malheureusement, ces conseils, bien que fondamentaux, ont conduit de nombreux utilisateurs à créer des mots de passe plus faibles que plus forts, dans le but de gérer en quelques caractères l’unicité, la complexité et les mises à jour fréquentes.
Compte tenu des taux de violation encore élevés, le National Institute of Standards and Technology (NIST) a publié une nouvelle publication pour surmonter ces problèmes. NIST Special Publication 800-63B (Lignes directrices pour l’identité numérique – Authentification et gestion du cycle de vie) fournit des conseils utiles et appropriés qui permettent de répondre rapidement aux nouvelles menaces.
Microsoft et le National Cyber Security Center (NCSC) ont également publié de nouvelles directives sur la gestion et la sécurité des mots de passe.
Quels sont les principaux conseils pour rendre nos mots de passe encore plus sûrs ?
Conseils pratiques pour des mots de passe sécurisés
Dans la mesure du possible,augmentez la longueur du mot de passe… en réduisant sa complexité
La création de mots de passe complexes reste un élément déterminant pour les sécuriser. Face à cette bonne règle, la mauvaise habitude de réutiliser plusieurs fois le même mot de passe en n’apportant que de petites modifications s’est malheureusement produite. Selon le Conseil national de la cybersécurité, les gens ont tendance à utiliser des modèles prévisibles pour répondre aux critères de « complexité » requis (comme le remplacement de la lettre « o » par un zéro, le « a » par @, ou le « i » par !). Malheureusement, les pirates aussi connaissent très bien ces stratégies et les utilisent pour optimiser leurs attaques. Pour cette raison, la longueur du mot de passe devient un facteur très important pour les rendre sûrs. Un mot de passe plus long est statistiquement plus difficile à déchiffrer. Pour cette raison, le NIST recommande aux entreprises de définir la longueur maximale du mot de passe sur 64 caractères. Cela permet l’utilisation de mots de passe uniques et personnels. Cela aide les utilisateurs à stocker des mots de passe plus longs, mais plus faciles à retenir et beaucoup plus difficiles à deviner.
Créez un mot de passe différent pour chaque compte… difficile à deviner
La réutilisation du mot de passe est un problème courant et, selon une enquête Google, 52 % des personnes ont tendance à réutiliser le même mot de passe sur plusieurs comptes. Cela a conduit les pirates à mener de plus en plus fréquemment des cyberattaques basées exclusivement sur l’achat sur le dark web de listes de mots de passe compromis. En utilisant des listes d’informations d’identification volées, les pirates tentent de se connecter à des comptes à l’aide de listes de mots de passe compromises.
Pour éviter de tomber victime de la cybercriminalité, il est donc essentiel de ne jamais utiliser le même mot de passe pour différents comptes, mais aussi d’éviter d’utiliser comme mots de passe des mots tirés du dictionnaire, des chaînes répétitives ou séquentielles, des mots de passe déjà utilisés, des mots de passe couramment utilisés ou d’autres mots et schémas que les pirates pourraient facilement deviner.
Mettez à jour régulièrement les mots de passe… mais sans utiliser de schémas faciles à déchiffrer
La modification fréquente de vos mots de passe est une bonne règle à suivre et de nombreuses entreprises exigent de leurs employés qu’ils le fassent à intervalles réguliers. Cette règle peut cependant devenir contre-productive et nuire à la sécurité, si vous utilisez des schémas comportementaux prévisibles tels que le choix d’un nouveau mot de passe qui n’a qu’une légère variation par rapport à l’ancien. Changer un seul caractère ou ajouter un symbole ressemblant à une lettre (comme ! au lieu de I) ne suffira pas à arrêter la cybercriminalité si le mot de passe a été compromis.
Le NIST recommande donc aux entreprises de supprimer cette exigence afin de rendre la sécurité des mots de passe plus conviviale. Partant de l’idée que si un mot de passe n’a pas été compromis, il n’est pas nécessaire de le faire expirer, et si au contraire il a été usurpé, il n’y a aucun intérêt à attendre son expiration pour le modifier.