Récemment, plus d'un demi-million d'identifiants de connexion appartenant à des utilisateurs d'un service VPN populaire ont été collectés par des pirates informatiques. Seul le pseudonyme de l'attaquant, « Orange », est connu, le pirate ayant publié toutes ces informations sur un forum du dark web peu après avoir récupéré les identifiants de connexion.
Bien que ce ne soit que la dernière grande fuite en date, ce n'est ni la première ni la dernière. Selon les informations de l'entreprise, les comptes seraient compromis par une vulnérabilité précédemment découverte dans le produit VPN.
Cet incident n'est qu'un parmi tant d'autres qui devraient inciter les personnes soucieuses de la sécurité à passer à des outils de sécurité des mots de passe plus avancés. Sur cette page, nous partagerons avec vous les meilleurs conseils pour la sécurité des mots de passe et discuterons de l'importance des pratiques de sécurité des mots de passe solides.
Pourquoi la sécurité des mots de passe est-elle importante ?
Si quelqu'un s'empare de vos identifiants de mot de passe et parvient à se connecter à vos comptes financiers, il pourrait vous causer de graves dommages. De plus, si des pirates parviennent à voler les identifiants de votre entreprise, vous pourriez potentiellement mettre en danger toute votre entreprise en divulguant des informations précieuses.
Même si vous travaillez dans une grande entreprise ou une organisation fédérale sécurisée, si vous avez un mot de passe médiocre et des identifiants de connexion faibles, peu importe la force des mesures de sécurité de l'organisation. La dure réalité est que n'importe qui peut être piraté s'il ne suit pas les recommandations de sécurité des mots de passe. Ce n'est pas une question de savoir si cela arrivera, mais quand cela arrivera.
Quel que soit le type de violation de données auquel vous êtes confronté, elles ont toutes des points communs. Toutes les violations de données sont embarrassantes. De plus, toutes les violations de données sont également souvent coûteuses. Rien qu'en 2022, le coût total estimé des attaques de pirates informatiques et des violations de sécurité des mots de passe devrait coûter aux entreprises plus de deux trillions de dollars.
Et, lorsque vous considérez que l'écrasante majorité de ces violations se produisent à cause d'une erreur humaine, l'importance des bonnes habitudes de gestion des mots de passe devient encore plus évidente. Dans ce cas, chacun est pour soi, et vous devez vous assurer d'avoir les meilleures pratiques de sécurité des mots de passe en place pour garder vos informations précieuses en sécurité. Cela nous amène au sujet clé suivant.
Conseils pour la sécurité des mots de passe
Si vous avez déjà recherché « comment sécuriser mon mot de passe », vous savez probablement combien d'articles inutiles il y a en ligne qui n'offrent aucun conseil précieux sur la façon de sécuriser votre mot de passe. Sans tourner autour du pot, nous avons résumé les meilleurs conseils pour ajouter une sécurité supplémentaire à vos comptes. Voici comment sécuriser votre mot de passe de la manière la plus efficace :
Sécurité des mots de passe de niveau 1
Savez-vous vraiment à quel point votre mot de passe est sécurisé ? Peu importe combien vous pensez que votre mot de passe est sécurisé, vous pouvez toujours mieux le protéger. Et, la première et la plus simple façon de le faire est d'activer l'authentification à deux facteurs (2FA). En termes simples, l'authentification à deux facteurs est une étape supplémentaire dans le processus de vérification qui ajoute une couche de sécurité supplémentaire à vos données.
Chaque fois que vous essayez d'accéder à votre compte ou à votre profil à partir d'un nouvel appareil, vous devrez vérifier votre identité avec une clé secondaire en plus de vos identifiants de connexion initiaux. Personne ne peut accéder à votre compte sans cette clé secondaire, même s'il obtient vos véritables identifiants de connexion. C'est pourquoi vous devriez toujours activer la 2FA ou la MFA (authentification multifactorielle) chaque fois que cela est possible.
Les exemples les plus courants de 2FA et MFA sont les codes temporaires que vous recevez sur votre téléphone par SMS ou par une application. Cela dit, ce n'est toujours pas la méthode la plus sûre, car des pirates expérimentés peuvent potentiellement intercepter ces messages et signaux et accéder à votre compte.
La meilleure façon d'utiliser la 2FA comme clé de sécurité de votre mot de passe est d'utiliser une application d'authentification par mot de passe distincte. L'application la plus connue de ce type est Google Authenticator. Elle est sûre, rapide et fonctionne avec la plupart des principaux services et plateformes.
Enfin, gardez à l'esprit que cette étape de sécurité supplémentaire comporte certains inconvénients. Si vous n'êtes pas prudent, vous pouvez facilement être bloqué par votre système 2FA, surtout si vous changez de numéro de téléphone ou perdez votre appareil. Gérer votre sécurité de cette manière est certainement un défi, mais avec une organisation appropriée et de bonnes habitudes de gestion des mots de passe, il est possible de sécuriser tous vos comptes avec la 2FA.
Sécurité des mots de passe de niveau 2
Si vous voulez aller un peu plus loin que le niveau un et ajouter des règles de sécurité des mots de passe plus strictes, vous devriez vous assurer que tous vos mots de passe sont conformes aux directives de mot de passe NIST. En résumé, un exemple de mot de passe fort doit :
- Avoir une longueur d'au moins 16 caractères.
- Inclure une combinaison de lettres, de chiffres et de caractères.
- Ne pas inclure d'informations personnelles que n'importe qui peut facilement trouver (adresse, nom des enfants, conjoint, animaux de compagnie)
- Ne pas avoir de chiffres ou de lettres consécutifs.
De plus, vous ne devez partager vos mots de passe avec personne, les écrire ou les conserver dans un fichier sur vos appareils. Plus de personnes connaissent vos identifiants de mot de passe, plus il y a de chances que ces informations tombent entre de mauvaises mains.
Plus inquiétant encore, des recherches récentes montrent que près de la moitié des Américains utilisent des mots de passe faibles de seulement huit caractères ou moins. Ceux-ci ne sont pas aussi sécurisés que les mots de passe deux fois plus longs ou plus.
Mais, si vous utilisez des mots de passe aussi forts et complexes que vous ne devriez écrire nulle part, comment pouvez-vous vous souvenir de tous les différents identifiants de connexion pour toutes les plateformes et services que vous utilisez ? Heureusement, il existe une solution simple à tout cela, et c'est d'utiliser un gestionnaire de mots de passe.
Ces outils pratiques vous permettent de générer et de stocker tous vos mots de passe en un seul endroit. Au lieu de vous souvenir de tous les mots de passe et identifiants de connexion, vous n'avez besoin de vous souvenir que d'un seul mot de passe principal lorsque vous utilisez le gestionnaire de mots de passe. Il existe de nombreux types de gestionnaires de mots de passe, mais nous pouvons les catégoriser en trois groupes principaux : les gestionnaires de mots de passe basés sur un navigateur, basés sur le cloud et basés sur un ordinateur de bureau.
Bien sûr, cela soulève une question raisonnable : à quel point les gestionnaires de mots de passe sont-ils sécurisés ? Il existe certains risques que vous devez connaître, notamment le fait que la nature des gestionnaires de mots de passe exige que toutes les données soient au même endroit. De plus, la sauvegarde n'est pas toujours possible, donc oublier votre mot de passe principal peut poser des problèmes.
Avec tout cela à l'esprit, un gestionnaire de mots de passe robuste est extrêmement difficile à compromettre de quelque manière que ce soit. En effet, ils utilisent un cryptage AES 256 bits robuste et la technique dite de « connaissance zéro ». La tâche la plus cruciale repose à nouveau sur vous, l'utilisateur. Tant que vous créez un mot de passe principal fort, votre gestionnaire de mots de passe sera presque impossible à pirater.
Sécurité des mots de passe de niveau 3
Si le niveau 2 ne vous offre pas une sécurité suffisante à votre avis, il existe des pratiques de sécurité encore plus avancées que vous pouvez mettre en place. Principalement, cela inclut l'abandon complet des mots de passe pour tous vos comptes et services.
Au cours des dernières années, une nouvelle vague d'authentification a balayé l'industrie grâce à l'Alliance FIDO. FIDO prend en charge une large gamme de technologies d'authentification sans mot de passe, principalement axées sur l'identification biométrique. Cela inclut les scanners d'empreintes digitales et d'iris, la reconnaissance vocale et faciale. De plus, l'authentification FIDO comprend également des solutions existantes efficaces telles que les jetons de sécurité USB, les cartes intelligentes et le NFC.
FIDO2 est la dernière norme sans mot de passe, qui utilise la cryptographie à clé publique pour garantir un système d'authentification sûr et pratique. Pour y parvenir, FIDO2 utilise à la fois une clé privée et une clé publique. Pour configurer et utiliser FIDO2, vous devrez d'abord vous inscrire sur les sites qui prennent en charge cette méthode de sécurité.
FIDO2 est bien représenté dans la plupart des principaux services et est pris en charge par Google, Microsoft, Facebook, Twitter, AWS et d'autres services de premier plan. Vous pouvez choisir parmi des dizaines de clés de sécurité compatibles FIDO2, dont beaucoup sont dotées d'une prise en charge intégrée pour les quatre principaux systèmes d'exploitation (Android, Windows, iOS et macOS). Cela vous permet d'utiliser de manière pratique l'authentification biométrique sur tous vos appareils qui prennent en charge une telle fonctionnalité.
Le principal inconvénient de ce type de sécurité par mot de passe est qu'il en est encore à ses premières années, ce qui signifie qu'il ne s'est pas encore répandu à tous les services et plateformes. À part les grands acteurs technologiques de l'industrie, peu de petites plateformes et sites ont encore mis en œuvre la norme FIDO2. Donc, pour l'instant, vous ne pouvez pas vous engager complètement dans le niveau 3 et abandonner complètement l'utilisation de l'authentification basée sur un mot de passe.
Gérer les mots de passe sans tracas
Si vous souhaitez créer le système le plus sécurisé pour gérer vos mots de passe, mais que vous n'appréciez pas les tracas liés aux méthodes des niveaux de sécurité que nous avons discutés ci-dessus, nous avons une solution simple et efficace pour vous. Le Hideez Key 4 comble le fossé entre l'authentification par mot de passe et sans mot de passe.
Avec cette clé de sécurité, tous vos mots de passe de vos comptes sont stockés dans un appareil chiffré séparé. L'appareil lui-même est protégé par un mot de passe principal. Le Hideez Key se connecte à votre appareil via Bluetooth. Il remplit automatiquement vos mots de passe d'un simple clic et génère des mots de passe conformes aux normes NIST ou des mots de passe à usage unique. De plus, il dispose d'une fonctionnalité d'authentification par proximité, vous permettant de verrouiller ou de déverrouiller automatiquement votre PC lorsque vous vous en approchez ou vous en éloignez.
De plus, il fonctionne comme une clé de sécurité FIDO. Cela signifie que vous avez automatiquement un accès sans mot de passe aux sites Web et applications prenant en charge FIDO, car la clé elle-même remplace les mots de passe.
Le meilleur de tout, le Hideez Key 4 a à la fois la certification FIDO U2F et FIDO2. Vous pouvez l'utiliser soit pour des besoins de sécurité personnels, soit dans votre environnement professionnel pour protéger les postes de travail et les comptes brûlés. Si vous souhaitez en savoir plus, vous pouvez essayer gratuitement le Service d'authentification Hideez ou programmer une démonstration avec l'un de nos experts en sécurité.
