Depuis des décennies, les mots de passe constituent l’un des éléments de base de la cyber-hygiène. Cependant, le fait est qu’ils ne constituent plus une méthode d’authentification suffisamment forte face à des attaques de plus en plus sophistiquées. L’an dernier, les pirates informatiques ont lancé en moyenne 50 millions d’attaques par jour visant des mots de passe, soit environ 580 par seconde. Il n’est donc pas surprenant qu’environ 60 % des violations de données soient dues à des identifiants de connexion compromis.
On sait depuis longtemps qu’un mot de passe classique ne suffit plus et qu’il n’est plus viable à lui seul. Les GAFAM sont déjà en train de renoncer aux mots de passe et d’utiliser des solutions telles que les identifiants biométriques et les logiciels de reconnaissance faciale. Mais il ne sera pas possible de mettre en œuvre ces changements aussi rapidement dans tous les secteurs d’activité, de sorte que les mots de passe continueront sans doute à être utilisés pendant un certain temps. Et comme le coût moyen d’une violation de données est estimé à 4,2 millions de dollars, nous devons continuer à les utiliser pour maintenir un niveau minimum de sécurité.
Cependant, il existe des moyens de sécuriser davantage l’utilisation d’un mot de passe classique. L’ANSSI recommande de choisir un mot de passe sécurisé répondant à certaines exigences de qualité. De plus, ces mots de passe devraient être gérés avec un gestionnaire de mots de passe et sécurisés par une authentification multifactorielle (MFA). Cette bonne pratique est devenue courante chez les salariés, les particuliers et les entreprises. L’authentification multifactorielle protège efficacement contre le “credential stuffing”, c’est-à-dire le détournement de mots de passe dérobés par des cybercriminels et qui les utilisent pour lancer des attaques. Bien qu’il s’agisse d’une première étape, elle est nécessaire mais pas suffisante pour garantir une sécurité totale. À l’occasion de la Journée mondiale du mot de passe, il est donc conseillé de changer de mot de passe et de remettre en question les pratiques existantes en matière de cyber-hygiène.
Tribune par Chris Vaughan, AVP, Technical Account Management chez Tanium