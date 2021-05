Mieux vaut prévenir que guérir : les conseils de Veracode pour la Journée mondiale du Mot de passe

mai 2021 par Nabil Bousselham, architecte de solutions informatiques chez Veracode

Le 6 mai, le mot de passe sera à l’honneur dans le monde entier. Une journée qui n’a jamais revêtu autant d’importance, alors que la pandémie COVID 19 a accéléré la transformation numérique pour les entreprises, notamment pour permettre le travail à distance, mais aussi dans les habitudes des consommateurs.. Dans ce contexte où la barrière entre la sécurité informatique des utilisateurs et celle des entreprises est de plus en plus floue, les mots de passe sont devenus un élément clé.

Dans ce contexte, Nabil Bousselham, architecte de solutions chez Veracode, liste ici 5 conseils pour garantir une sécurité maximale des mots de passe.

1. Pourquoi faire simple quand on peut faire compliqué ?

Nous cherchons tous la facilité pour nous connecter à un PC professionnel, à une adresse email personnelle ou à divers comptes de réseaux sociaux. Recourir à un seul mot de passe pour plusieurs connexions peut donc sembler tentant au premier abord. Cependant, le recyclage des mots de passe ne fait que permettre aux pirates d’accéder à plusieurs comptes en cas d’attaque réussie. Les utilisateurs doivent donc s’efforcer de se compliquer la vie, en choisissant un mot de passe différent et complexe à chaque fois, en gardant en tête que les hackers parviennent à déchiffrer un mot de passe de 7 caractères en 0,29 milliseconde. En plus de définir des mots de passe uniques, il est ainsi important d’opter pour des séquences de mots aléatoires contenant des caractères spéciaux s‘avère essentiel.

2. Un simple mot de passe ne suffit plus

Dans le cadre de l’authentification à deux facteurs, les applications utilisent un autre identifiant en plus du mot de passe pour réguler l’accès des utilisateurs. Cela augmente considérablement la sécurité des utilisateurs et de leurs données. Un modèle couramment utilisé est la combinaison d’un mot de passe avec un code envoyé par SMS à un numéro de téléphone portable enregistré. La biométrie est un autre moyen de verrouiller ses accès à double tour, et qui consiste à solliciter, en plus du mot de passe, une empreinte digitale ou un objet physique, comme une carte bancaire.

3. L’administrateur doit impérativement fixer les règles

Les utilisateurs finaux ont une part de responsabilité dans la sécurité, mais celle-ci est partagée avec les entreprises. Elles doivent fournir aux utilisateurs des applications conçues avec un code le plus robuste possible. Malgré des années de travail d’évangélisation dans le domaine de la sécurité des mots de passe, le fameux « 123456 » reste l’un des mots de passe les plus courants. Les administrateurs doivent exiger de leurs utilisateurs qu’ils recourent à la fois à des chiffres, à des caractères spéciaux, ainsi qu’à des lettres majuscules et minuscules. Ils peuvent également leur demander d’utiliser des phrases complètes ou des mots de passe plus longs. En outre, ils peuvent exiger un changement de mot de passe tous les 60 à 90 jours.

4. Utiliser une technologie de cryptage

Les équipes de développeurs doivent prêter une attention particulière à la manière dont les mots de passe sont stockés dans les bases de données des applications. Par exemple, les mots de passe ne doivent en aucun cas être stockés dans un texte clair. Actuellement, le moyen le plus sûr de stocker des mots de passe est le cryptage basé sur le mot de passe (PBE), qui fournit des fonctions de dérivation de clé (KDF). Celles-ci convertissent les mots de passe à faible entropie en données aléatoires, imprévisibles et, surtout, non réversibles.