David Cummins, VP EMEA chez Tenable, a fait le commentaire suivant :

« Avec une nouvelle Journée mondiale du mot de passe, deux réflexions s’imposent : pourquoi sommes-nous toujours dépendants des mots de passe pour confirmer nos identités en ligne ? Et pourquoi les utilisateurs tombent-ils dans le piège des escroqueries qui leur demandent de communiquer leurs mots de passe ?

Lorsque la Journée mondiale du mot de passe a débuté, en 2013, son objectif était d’encourager les utilisateurs à créer et à employer des mots de passe uniques et forts. Compte tenu du nombre de violations de données signalées, où les escrocs ont réussi à obtenir des bases de données d’identifiants et mots de passe utilisateur, créer le mot de passe le plus fort du monde ne servira à rien si les cybercriminels le connaissent déjà.

Plutôt que de s’en remettre aux mots de passe, il faut se concentrer sur la mise en œuvre de méthodes d’authentification supplémentaires - donc mise en œuvre d’une MFA ou authentification multifacteur - telles la biométrie ou l’OTP (mots de passe à usage unique). En outre, au lieu de laisser le choix du niveau de sécurité à l’utilisateur, l’authentification multifacteur devrait être mise en œuvre par défaut. Elle est simple à utiliser et offre un niveau de sécurité supplémentaire. Comme la majorité des adultes sur la planète disposent d’un appareil personnel (smartphone, tablette, etc.) capable de faciliter un mécanisme d’authentification tel que la biométrie ou l’OTP, l’authentification multifacteur est vraiment une solution simple mais puissante.

Étant donné que l’utilisation de mots de passe reste le principal moyen de confirmer les identités pour de nombreux services et portails en ligne, les consommateurs doivent protéger leurs moyens d’accès. Les banques demandent à tous les clients de ne divulguer leur NIP (numéro d’identification personnel) à personne, pourtant beaucoup trop d’escroqueries consistent toujours à inciter les individus à dévoiler leurs mots de passe parce que cela fonctionne encore. Il est crucial de réfléchir avant de divulguer toute information personnelle, car cela peut conduire à donner les clés de son identité en ligne. »

Derek Melber, Directeur Technique chez Tenable, a ajouté :

« En cette Journée mondiale du mot de passe, plutôt que de se concentrer sur ce qui constitue ou non un mot de passe sécurisé, les administrateurs d’Active Directory (AD) devrait surtout s’assurer qu’un mot de passe soit exigé pour les utilisateurs AD. La réalité est que, Active Directory existant depuis un certain temps, il est facile de penser que ce qui est en place est sécurisé, alors qu’en fait, les utilisateurs AD sont exposés. N’importe quel utilisateur AD pourrait voir ses exigences en matière de mot de passe complètement annulées en raison d’une simple erreur de configuration. Ce paramètre n’est pas évident et peut passer inaperçu lors d’un examen ou d’un audit de sécurité. C’est pourquoi il est essentiel de prendre quelques minutes pour vérifier grâce à la commande PowerShell "Get-ADUser -Filter PasswordNotRequired -eq $true" quels utilisateurs sont dispensés de mot de passe et ainsi aller au-delà de l’évidence en cette Journée mondiale du mot de passe. »