Application de bonnes pratiques d’hygiène en matière de mots de passe
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Définir ce qu’est une bonne hygiène en matière de mots de passe
- Expliquer comment les gestionnaires de mots de passe protègent les mots de passe
Utilisation de bonnes pratiques d’hygiène en matière de mots de passe
L’hygiène en matière de mots de passe est aussi cruciale pour vos systèmes organisationnels internes que pour les identifiants que vous utilisez pour accéder à votre messagerie, à votre calendrier et à d’autres applications de travail. Quelle que soit la manière dont une entreprise se protège contre les dangers externes, les mots de passe présentent toujours des menaces pour la sécurité. C’est pourquoi vous devez exiger que les utilisateurs disposent d’identifiants uniques pour toutes les bases de données et tous les systèmes auxquels ils accèdent.
Les risques liés aux mots de passe incluent l’utilisation de mots de passe faibles, la réutilisation de mots de passe et la mauvaise gestion des identifiants par un stockage ou un chiffrement défectueux (en utilisant un algorithme pour brouiller, encoder et protéger). Une façon de mettre en œuvre des mots de passe forts consiste à utiliser un outil de gestion des mots de passe.
Une bonne hygiène en matière de mots de passe a deux facettes : 1) l’utilisation de mots de passe forts uniques sur chaque service auquel vous accédez et 2) le stockage de ces mots de passe à des endroits où ils sont protégés. Passons en revue quelques bonnes pratiques pour sécuriser vos mots de passe.
Utilisation de mots de passe forts uniques
Utilisez des mots de passe forts sur chaque service auquel vous accédez. Il est particulièrement important de veiller à ne pas réutiliser les mots de passe. Il est tentant de réutiliser des mots de passe ou d’utiliser des mots de passe qui ne présentent que des variations mineures, car la gestion de mots de passe longs et complexes sur plusieurs comptes peut être fastidieuse. Cependant, la réutilisation des mots de passe est une pratique qui rend votre organisation vulnérable aux violations.
Si vous réutilisez les mêmes mots de passe, même avec des variations mineures, les pirates qui obtiennent le mot de passe d’un compte peuvent alors accéder à vos autres comptes. Un certain nombre de failles de sécurité majeures se sont produites de cette manière et ont touché des organisations dans divers secteurs, entraînant des violations des comptes de réseaux sociaux des employés, des comptes bancaires des clients et même des systèmes de sécurité nationaux. Un gestionnaire de mots de passe est un excellent moyen de limiter ce risque.
Utilisation d’un gestionnaire de mots de passe
Bien qu’il soit crucial que vous définissiez des mots de passe forts, il est tout aussi important que ces mots de passe restent secrets. Les mots de passe forts et uniques sont difficiles à retenir, il peut donc être tentant d’en conserver des copies papier. Malheureusement, cette pratique peut entraîner de graves problèmes de sécurité, car les copies papier peuvent être exposées, en particulier dans les bureaux à espace décloisonné. La prochaine fois que vous serez tenté(e) de noter votre mot de passe sur un post-it ou dans un carnet, ravisez-vous !
Il se peut que vous rencontriez parfois le terme « hygiène en matière de mots de passe » qui fait référence aux meilleures pratiques suivantes. Une bonne hygiène en matière de mots de passe permet d’éviter que vos systèmes ne soient piratés par des pirates. Le moyen le plus simple de vous assurer d’utiliser des mots de passe forts pour vos comptes et de ne pas les répéter est d’utiliser un gestionnaire de mots de passe. La plupart des gestionnaires de mots de passe intègrent des générateurs de mots de passe aléatoires et collectent les noms d’utilisateur et les mots de passe en temps réel. Ils stockent ces noms d’utilisateur et mots de passe dans une base de données sécurisée, ce qui signifie que vous n’avez pas à vous souvenir d’un mot de passe différent, fort et unique pour chaque site Web.
Votre organisation peut vous fournir un gestionnaire de mots de passe, mais même si ce n’est pas le cas, vous pouvez toujours en choisir un pour vous-même. Les gestionnaires de mots de passe enregistrent vos sites en toute sécurité, gèrent vos connexions, génèrent des mots de passe aléatoires et les stockent dans une base de données sécurisée, ce qui vous évite d’avoir à mémoriser des mots de passe complexes et forts pour chaque service que vous utilisez.
Ce qui peut et ne peut pas être stocké dans un gestionnaire de mots de passe
Bien que les gestionnaires de mots de passe soient un excellent moyen de mettre en place des mots de passe forts, vous devez veiller à ne pas les utiliser pour les comptes d’administrateur système ou dotés de privilèges. Pour les comptes avec privilèges, utilisez un coffre-fort ou un système de gestion de clés privilégiées qui chiffre vos secrets.
Suivez les meilleures pratiques ci-dessous lorsque vous utilisez un gestionnaire de mots de passe.
- Alignez le niveau de complexité de votre mot de passe principal sur celle du mot de passe le plus complexe stocké dans le gestionnaire de mots de passe, au minimum.
- Pour votre gestionnaire de mots de passe, choisissez un mot de passe principal d’au moins 16 caractères comprenant des éléments de ces catégories : lettres majuscules, lettres minuscules, chiffres et symboles.
- Utilisez une phrase secrète. Une phrase secrète est une suite de mots formant une phrase et utilisée pour l’authentification. Elle est plus longue qu’un mot de passe traditionnel, facile à retenir et difficile à déchiffrer. Vous pouvez ajouter des espaces, remplacer des lettres par des caractères spéciaux ou des chiffres pour augmenter encore plus la sécurité.
- Configurez votre gestionnaire de mots de passe pour utiliser l’authentification multifacteur (MFA) pour la connexion.
Ajout de défenses avec l’authentification multifacteur
De nombreuses organisations sont passées à la MFA pour vérifier l’identité des utilisateurs avant d’autoriser l’accès aux systèmes. Trois types de facteurs peuvent être utilisés pour s’authentifier : 1) quelque chose que vous avez, 2) quelque chose que vous savez ou 3) quelque chose que vous êtes. La MFA vous oblige à vous authentifier à l’aide d’au moins deux de ces trois facteurs.
Par exemple, lorsque vous vous connectez, vous pouvez utiliser la MFA pour confirmer votre identité avec quelque chose que vous connaissez (comme votre mot de passe) et quelque chose que vous possédez (comme une application sur votre téléphone ou un jeton matériel). La mise en œuvre de la MFA peut protéger contre les attaques ciblant les mots de passe, telles que les attaques d’hameçonnage, qui visent à recueillir des identifiants afin d’obtenir un accès non autorisé à l’ordinateur de la victime. Avec la MFA, même si un attaquant est capable de compromettre votre mot de passe, il a toujours besoin d’accéder à un deuxième facteur, tel que votre téléphone ou votre jeton matériel, pour compromettre votre compte.
Veillez à toujours utiliser la MFA pour accéder à votre gestionnaire de mots de passe, car c’est le système qui offre le plus haut niveau de protection à tous les secrets qui y sont stockés. Des systèmes de gestion de mots de passe différents nécessitent des méthodes d’authentification différentes. Celles-ci peuvent inclure un authentificateur logiciel comme Google Authenticator, un authentificateur matériel comme YubiKey ou d’autres méthodes, comme la biométrie.
Maintenant que vous savez comment protéger vos mots de passe personnels, voyons comment protéger vos identifiants d’administrateur.
Ressources
- Site externe : Forum économique mondial (FEM) : Pourquoi la COVID-19 nous amène à envisager la disparition des mots de passe
- Site externe : Global Cyber Alliance : Hameçonnage : une pandémie mondiale
- Site externe : National Institute of Standards and Technology (NIST) : Publication spéciale (SP) 800-63 : Révision 3 : Règles concernant l’identité numérique