Recycler et utiliser des mots de passes simples serait une meilleure alternative à l’utilisation de mots de passe complexes et à usage unique, selon Jean-Christophe Vitu, professional service sanager, chez CyberArk.


Microsoft Research vient de publier les résultats d’une étude pour le moins étonnante concernant l’utilisation des mots de passe. Les résultats de ces recherches démontrent en effet qu’il est irréaliste d’utiliser des mots de passe uniques, complexes et adaptés à chaque besoin : recycler et utiliser des mots de passes simples serait une meilleure alternative selon l’éditeur. Une approche qu’il estime cohérente et terre à terre face au niveau de sophistication croissant des cyberattaques et à la « faille humaine » persistante.

Selon les chercheurs Microsoft, il s’agit d’établir des priorités : les services moins importants peuvent bénéficier de mots de passe simples à mémoriser tandis que les comptes plus sensibles peuvent quant à eux être protégés par des mots de passe plus complexes.

S’il est vrai que la gestion de comptes multiples est complexe, notamment au sein des entreprises, il est surprenant de faire de telles recommandations au moment où le vol de données personnelles fait la une des actualités quasi quotidiennement. En outre, des solutions ou techniques simples peuvent être utilisées afin de faciliter la création et la gestion de mots de passe, aussi bien pour les particuliers que pour les entreprises.

Microsoft partage ici une idée à contre-courant selon laquelle la complexité des mots de passe ne serait pas toujours nécessaire. En incitant les utilisateurs à choisir des mots de passe faibles pour les services dits de moindre importance, Microsoft va à l’encontre de ce que les experts de la sécurité préconisent. En effet, les utilisateurs ont souvent du mal à faire la part des choses sur ces questions : tandis que les services bancaires sont en général considérés comme étant de haute importance, les media sociaux peuvent paraître quant à eux moins sensibles. Pourtant ces derniers représentent une source intarissable de données utiles pour les pirates informatiques : le détournement d’un compte utilisateur sur un réseau social peut leur permettre d’obtenir des informations personnelles d’identification et d’usurper ainsi l’identité du titulaire du compte afin d’ouvrir une nouvelle série de menaces et de vecteurs d’attaques nuisibles.

Les mots de passe, surtout s’ils sont simples ou s’ils ont déjà été utilisés, représentent une menace importante à la fois pour les utilisateurs et pour les organisations. Des techniques qui consistent à simplifier la gestion des mots de passe pour faciliter l’accès des utilisateurs et assurer la sécurisation de tous les comptes au même niveau existent au sein des entreprises. En outre, il est possible de créer simplement des mots de passe uniques et mémorisables facilement : par exemple, prendre les deux premières lettres du service concerné ou de son nom entier et y ajouter un nombre – celui du service lui-même ou de la date de modification du mot de passe. Cela permet aux utilisateurs de mémoriser facilement, voire de « redécouvrir » par des moyens mnémotechniques leurs mots de passe, sans avoir à trop se creuser la tête ou à réutiliser les anciens.

Il est essentiel que les mots de passe complexes restent l’un des principaux remparts pour les utilisateurs afin de lutter contre les intrusions et le vol de données. Au sein des entreprises, il faut simplifier la gestion des mots de passe mais sans en diminuer l’importance. La mise en place de mesures de gestion de mots de passe à la fois via des outils de gestion automatisée mais également à travers une sensibilisation active des employés permet de garantir la sécurité des données sensibles de l’organisation. Il ne faut surtout pas renoncer à cet aspect sous couvert de nature humaine incorrigible. Les employés peuvent être efficacement sensibilisés à ces questions avec un accompagnement adéquat et les bons messages, par exemple : éviter les mots de passe trop simples, ne pas les partager avec des tiers, les changer régulièrement, utiliser les bons outils, etc. Cela reste, à mon sens, la première étape incontournable pour des données sécurisées. »

 =========
Par Jean-Christophe Vitu, professional service sanager, Europe du Nord chez CyberArk


 

Nos lecteurs ont lu ensuite


Microsoft : points forts, points faibles…
Avec le recul de vingt ans d’activité dans l’écosystème Microsoft (dont douze passés chez l’éditeur), Stéphane Sabbague, président et co-fondateur du cabinet d’études Calipia, analyse les dix principaux points forts et points faibles de Microsoft....

Les données personnelles mal protégées sur les sites internet de l’Hexagone
Le champion français de la gestion des mots de passe et des portefeuilles numériques Dashlane vient de révéler les résultats – peu reluisants –  de sa seconde étude consacrée à la protection des données des...

L’authentification FIDO : Google, Microsoft et Apple veulent un avenir sans mots de passe
Les trois géants américains du numérique sont partisans de la suppression des mots de passe. Ils ont décidé d’accélérer l’adoption – d’ici début 2023 – des normes de connexion sans mot de passe FIDO (« passkeys »)...

Faille de sécurité Adobe: le problème plus grave qu’il n’y parait
Il semble bien que le vol de données dont a été victime Adobe début octobre ait été sous-estimé par l’éditeur. Du moins au début, lorsque celui-ci annonçait 3 millions de données dérobées....

2014 : Inévitables prévisions
Le début de chaque année est l’occasion de prévisions des événements qui vont arriver ou des tendances qui se feront jour. Nous proposons un pot-pourri de prévisions dans différents domaines....