Bienvenue dans la section « Techniques de gestion des mots de passe ». Après avoir terminé cette lecture, vous serez en mesure d’ explorer les meilleures pratiques en matière de gestion des mots de passe, d’ identifier les mots de passe forts et faibles et de créer un ensemble de règles de base en matière de mots de passe pour améliorer la sécurité. Le craquage de mot de passe consiste à obtenir un mot de passe correct de manière non autorisée. Les attaques par force brute soumettent autant de mots de passe que possible dans l’espoir que l’un d’entre eux fonctionne. Les attaques par dictionnaire utilisent des mots extraits de dictionnaires ou de journaux pour déchiffrer les mots de passe, tandis que les attaques arc-en-ciel utilisent des mots provenant d’un hachage de mot de passe original pour générer tous les autres mots de passe possibles. Le hachage se produit lorsqu’un algorithme transforme une chaîne d’entrée (comme votre mot de passe) en une chaîne de sortie (ou hachage) plus petite et de longueur fixe qui est enregistrée dans un fichier. Un hash est comme une empreinte numérique.
Les mots de passe sont hachés à l’aide d’un algorithme de brouillage. Si un hachage de mot de passe est déterminé, les attaquants peuvent l’utiliser pour identifier d’autres mots de passe qui ont été brouillés de la même manière, ce qui peut représenter plus de 90 % des mots de passe inconnus dans certains cas. Des mots de passe forts et une stratégie de mot de passe efficace sont essentiels à la sécurité en ligne. Les utilisateurs ont tendance à utiliser les mêmes mots de passe pour leurs comptes personnels et professionnels. Mais les mots de passe faibles ou volés sont à l’origine de plus de 80 % des violations de données des entreprises. Chaque compte en ligne doit avoir un mot de passe unique, en particulier les comptes d’entreprise. Et une formation des employés devrait exister pour expliquer pourquoi la gestion des mots de passe et la sécurité des données sont si importantes.
Une politique de mot de passe est un ensemble de règles qui fournissent des conseils sur l’utilisation de mots de passe forts. Les politiques relatives aux mots de passe devraient exiger : une longueur minimale de 12 caractères. Mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Un mot de passe unique pour chaque compte ou appareil, y compris pour les appareils personnels utilisés pour le travail. Un changement de mot de passe obligatoire tous les 6 à 12 mois. Formation des employés sur les cyberattaques et notification aux employés indiquant que l’entreprise ne leur demandera jamais de mot de passe. Les politiques relatives aux mots de passe devraient insister pour que les employés : Ne jamais réutiliser ni recycler les mots de passe.
Ne partagez jamais vos mots de passe, même avec le PDG. Ne notez jamais vos mots de passe. Et ne stockez jamais les mots de passe dans un fichier numérique. Les pirates informatiques peuvent deviner un billion de mots de passe par seconde. Les mots de passe contiennent souvent des citations de films, de chansons ou de livres. Mais les pirates informatiques disposent déjà de bases de données en ligne contenant ces citations, ainsi que des listes de mots de dictionnaire, d’entrées d’encyclopédie, etc. Pour renforcer la sécurité , utilisez 12 caractères au minimum.
Évitez les noms, les lieux, les mots du dictionnaire ou les informations personnelles. Utilisez des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Évitez d’utiliser des « leet » ou des symboles pour les lettres (les pirates informatiques le savent déjà). Par exemple, écrire le mot « mot de passe » en utilisant le chiffre quatre au lieu de la lettre « A », ou le signe du dollar au lieu de la lettre « S ». Utilisez des caractères aléatoires. et utilisez une phrase secrète (12 mots aléatoires ou plus). Voici à quoi ressemblent les mots de passe sécurisés : les organisations ne devraient jamais demander leurs mots de passe à leurs clients ou à leurs employés. Lorsque les employés savent que leur entreprise ne leur demandera jamais de mot de passe, ils sont moins susceptibles de tomber dans le piège de l’usurpation d’identité et des attaques de phishing.
Ne communiquez votre mot de passe à personne. Ni votre patron ni le service informatique. Le personnel informatique dispose de droits d’administrateur. Tout ce qu’ils font peut être effectué avec leurs propres identifiants. Les entreprises doivent sensibiliser leurs employés aux risques liés à la réutilisation des mots de passe et prendre des mesures pour y mettre fin. La réutilisation des mots de passe consiste à utiliser le même nom d’utilisateur et le même mot de passe pour tous vos comptes, à utiliser des mots de passe courants tels que « 12345 » ou le mot de passe, ou à utiliser le même mot de passe mais avec un nom d’utilisateur différent. Les pirates peuvent facilement associer des mots de passe précédemment utilisés à des personnes et ils peuvent « pulvériser » des mots de passe courants sur des comptes en ligne.
L’expiration du mot de passe se produit lorsqu’un mot de passe est configuré pour expirer après un certain laps de temps. Dans le passé, les employés devaient généralement changer leur mot de passe tous les 90 jours. Mais cela a inspiré des mots de passe faibles et réutilisés. Ainsi, des intervalles plus longs aident les employés à adopter des comportements moins risqués. L’expiration du mot de passe a du sens, mais pas une fois qu’elle commence à avoir un impact négatif sur la sécurité. Dans cette lecture, vous avez appris que : Un hash est un petit code enregistré utilisé pour stocker des mots de passe brouillés Les pirates informatiques utilisent le craquage de mots de passe pour accéder sans autorisation aux mots de passe d’autres personnes. Les mots de passe forts sont longs, aléatoires, secrets et ne sont jamais réutilisés.
Et aucune entreprise ou employeur ne vous demandera jamais votre mot de passe.