RockYou2021 : bien que faciles à créer, les mots de passe offrent une sécurité faible et une expérience utilisateur vulnérable

0
102

Des chercheurs de Cybernews ont mis la main sur un fichier Txt de 100 Go, nommé Rockyou2021 et diffusé sur un forum de hacking. Il s’agit de la plus grande fuite de l’histoire avec 8,4 milliards de mots de passe dévoilés.

Selon Laurent Nezot, Directeurs de Ventes France chez Yubico, les mots de passe sont la forme la plus courante d’authentification, et ils doivent être considérés avec la plus grande attention. Bien que faciles à créer, ils offrent une sécurité faible et une expérience utilisateur vulnérable, comme le prouve RockYou2021 :

« Par définition, un mot de passe est un secret partagé. Ce secret est connu de l’utilisateur et du service de validation, il est souvent stocké sur différents appareils informatiques, et peut même être partagé dans des messages ou sur un post-it. Selon notre dernière étude, 23 % des Français mémorisent en effet leurs mots de passe professionnels en les écrivant, tandis que 11 % les stockent sur leurs appareils et 11 % utilisent le même mot de passe pour plusieurs comptes. Pire encore, 23 % des utilisateurs continuent de se servir du même mot de passe après une violation de données.

Cette lassitude à l’égard des mots de passe entraîne des compromissions. Les utilisateurs se lassent de créer de nouveaux mots de passe pour différents services et de devoir les changer tous les quelques mois selon les exigences des politiques de sécurité. Pour réduire l’effort de mémorisation, de nombreux utilisateurs finissent par définir des mots de passe simplistes qui, malheureusement, sont faciles à cracker, ou réutilisent des mots de passe sur plusieurs sites ; des pratiques qui sont à risque car la compromission d’un service peut dès lors ouvrir la porte à de nombreux autres.

La pandémie, avec l’accélération du travail à distance et hybride, a été un tournant pour les entreprises qui ont mis en place et modernisé le développement de l’authentification multi-facteurs. Cependant, alors qu’il existe un intérêt pour une sécurité forte avec une meilleure expérience utilisateur, de nombreuses entreprises s’en tiennent à de vieilles habitudes et technologies moins efficaces. Les organisations qui se demandent par où commencer devraient envisager une approche hybride de l’authentification sans mot de passe, ce qui ne les obligera pas à revoir toute leur infrastructure actuelle. Cela est d’autant plus important que de nombreuses infrastructures d’entreprise comprennent un mélange de systèmes hérités sur site et de services privés ou publics hébergés dans le cloud. »