Cette semaine, nous sautons un peu le pas et nous plongeons dans l’étape 5 des directives de la Small Business Administration pour défendre votre entreprise contre les cybermenaces – Utilisez des mots de passe forts et changez-les souvent pour vous protéger des menaces externes et internes.
Les mots de passe sont comme certains politiciens. Ils peuvent sembler complexes et laborieux, mais en réalité, ce ne sont que les mêmes idées fatiguées estampillées d’une nouvelle année et d’un nombre quelconque de » ! » plaqués à la fin.
#P@ssw0rd2019!!!
Malheureusement, le mot de passe, avec ses défauts et ses responsabilités inhérentes, est souvent la seule mince ligne de protection entre vos utilisateurs, leurs données et un Internet rempli de cybercriminels. Ce n’est pas juste, ce n’est pas bien, et le regard glacé que vous obtiendrez de vos utilisateurs lorsque vous leur direz les dernières « exigences de mot de passe complexe » que vous mettez en œuvre fournira aux administrateurs peu méfiants une dure vérité :
peu importe le nombre de chiffres que vous leur faites utiliser, peu importe le nombre de caractères spéciaux requis, et peu importe la fréquence à laquelle vous les faites changer, le mot de passe sécurisé – le plus souvent – ne l’est pas.
Ce truc fou que vous faites avec votre mot de passe et qui fait pleurer votre RSSI
Le problème le plus courant avec la sécurité des mots de passe est peut-être qu’à mesure que notre lieu de travail et nos vies sont devenus de plus en plus numériques, nous constatons que nous devons nous souvenir de plus en plus de mots de passe juste pour maintenir l’accès à nos propres informations personnelles.
Vous avez besoin d’effectuer un paiement par carte de crédit ou de vérifier votre solde ? Vous avez besoin d’un mot de passe.
Vous avez plus d’une carte de crédit ? Vous avez besoin de plusieurs mots de passe.
Compte bancaire ? Mot de passe.
Vous avez besoin de nouvelles idées sur Pinterest ? MOT DE PASSE.
En fait, la tendance à la « surcharge en ligne » s’aggrave, le consommateur américain moyen ayant plus de 100 comptes uniques associés à une seule adresse électronique. Bien sûr, chaque compte doit être sécurisé, ce qui signifie que chaque compte a besoin d’un mot de passe – et ce mot de passe a intérêt à être complexe. Et vous feriez mieux de ne pas l’oublier, ou nous vous enverrons notre ami. Nous allons vous poser des questions sur le nom de jeune fille de votre mère et sur le nom de votre professeur préféré à l’école primaire – créant ainsi plus de choses à retenir, et (de façon perverse) plus de choses que nous pouvons compromettre par inadvertance aux cybercriminels.
Cette surcharge conduit les gens à faire des choses stupides – et chacune de ces choses stupides crée des vulnérabilités de sécurité qui mettent les utilisateurs et les données de l’entreprise en danger. Voici quelques-unes des choses que les utilisateurs font tous les jours… et par » utilisateurs « , je veux dire en réalité » nous tous « .
- Nous réutilisons de plus en plus le même mot de passe.
- Lorsque nous ne réutilisons pas ce même mot de passe, nous utilisons des incréments simples pour » tromper » des algorithmes complexes (mot de passe1, mot de passe2, mot de passe3…).
- Nous ne sommes pas particulièrement malins pour imaginer de nouveaux mots de passe – et quand nous le sommes, nous les oublions.
- Nous écrivons les mots de passe sur papier – voire nous les collons sur nos écrans.
- Nous les conservons dans un fichier texte – en clair – sur Dropbox ou Google Drive.
La réutilisation des mots de passe est peut-être l’une des tendances les plus troublantes qui accompagne la surcharge de comptes en ligne. Après tout, si un cybercriminel compromet un compte et fait correspondre le mot de passe craqué à une adresse e-mail, c’est un exercice incroyablement simple pour lui d’essayer la combinaison sur des dizaines, voire des centaines, de comptes en ligne jusqu’à ce qu’il trouve ce qu’il cherche. Pire encore, ils peuvent prendre ces informations d’identification et les vendre à d’autres criminels qui passent leur temps à passer au peigne fin les métadonnées sur qui nous sommes et comment nous vivons, ce qui conduit à des pertes d’identité plus complexes qui compromettent des vies et des moyens de subsistance.
Alors, qu’est-ce que Dumbledore a à voir là-dedans ?
Tout d’abord, dans un monde où les exigences de sécurité sont de plus en plus complexes, la combinaison traditionnelle nom d’utilisateur et mot de passe en mode texte ne suffit tout simplement pas. Des technologies plus récentes, telles que l’authentification multifactorielle à l’aide de cartes à puce ou de la biométrie, commenceront rapidement à devenir la norme – créant de nouvelles façons de plus en plus amusantes de rendre l’ensemble du processus encore plus fastidieux et difficile ! Il y a tout simplement trop de parties de nos vies auxquelles nous voulons accéder en ligne, et les données sont tout simplement trop sensibles pour faire confiance à la mémoire humaine faillible et aux mauvaises méthodologies politiciennes de protection par mot de passe.
En attendant – alors que nous sommes coincés avec la mémoire humaine faillible comme principal système de sécurité – la connaissance est le pouvoir. Travaillez avec vos employés et vos responsables pour leur apprendre pourquoi les mots de passe forts sont importants, et pourquoi – même aujourd’hui – le besoin de changer régulièrement les mots de passe est toujours une exigence nécessaire (bien qu’ennuyeuse). Il est important de montrer à vos utilisateurs à quel point les mauvaises pratiques en matière de mots de passe peuvent être dangereuses. Montrez comment une seule crédence compromise peut se répercuter en cascade sur leur vie, ruinant les soldes bancaires, détruisant les cotes de crédit et les ouvrant à des problèmes juridiques et à la responsabilité.
Pendant que vous les effrayez avec cette réalité, profitez-en pour leur enseigner quelque chose sur les bonnes pratiques de sécurité pour leur comportement en ligne. Montrez-leur comment les escrocs et les criminels de l’Internet peuvent utiliser les sites de médias sociaux pour exploiter subrepticement leurs données personnelles à l’aide de ces fameux « quiz » de Facebook. »
Ils vous demanderont : « Voulez-vous savoir à quel personnage de Harry Potter vous ressemblez le plus ? ». Il suffit de leur dire ton âge, ta couleur préférée, le nom de ton premier animal de compagnie et ton plat préféré.
Maintenant, remarquez-vous quelque chose à propos des informations qu’ils veulent ? Vous êtes-vous déjà demandé comment votre couleur préférée ou le nom de votre premier animal de compagnie pourrait aider le Choixpeau à déterminer à quelle maison de Poudlard vous appartenez ?
La réponse : Ce n’est pas le cas – mais cette information est extrêmement utile pour un cybercriminel qui essaie d’accéder à vos comptes personnels en piratant vos questions de sécurité.
Les mots de passe forts ne sauveront pas la journée, mais ils aident à prévenir les menaces internes
Comme d’habitude, la solution est à plusieurs niveaux. Des mots de passe forts aident, un comportement en ligne intelligent aide, de bons processus et procédures de sécurité renforcés par un logiciel de sécurité de classe mondiale pour les petites entreprises comme LanScope Cat *aide*. Aucune solution unique ne résoudra tout, mais des personnes intelligentes disposant de bons outils et d’une bonne formation peuvent faire de votre organisation une cible beaucoup plus difficile.