Faire la fête tous les jours est la Journée mondiale des mots de passe
authentification
,
Gestion des identifiants et des accès
,
Approbation multifactorielle et basée sur les risques
Raison de la célébration: Microsoft cesse de recommander des modifications périodiques du mot de passe
Mathew J. Schwartz
(euroinfosec)
Alarme Hallmark: Écoutez, si vous détestez les "journées" consacrées à ceci ou à cela.
Voir aussi: Coucher de soleil de Windows Server 2008: Transfert avec Docker
En plus de célébrer la guerre des mères, des pères et des étoiles, je dirais que nous n’avons pas besoin de plus de jours, merci beaucoup (voir: 7 & # 39; Star Wars Day & # 39; Leçons de cybersécurité).
Mais avec le retour du 2 mai à nouveau, il n’est pas difficile de passer à côté des alertes sans escale indiquant que jeudi est la Journée mondiale des mots de passe.
Alors, voici un conseil: pour quiconque utilise un site Web ou un service, chaque jour doit être un jour de mot de passe. Les attaquants ne dorment certainement pas les 364 autres jours de l'année.
Malheureusement, chaque année, il est demandé à "l'assistance de mot de passe pour la pile à droite" pour agacer et dérouter les utilisateurs, en fonction du choix du mot de passe avec au moins huit caractères, dont le nom de votre premier lama, les premières lettres d'une expression que vous aimez, ainsi que quelques caractères aléatoires. chiffres et symboles.
Sommaire
Sécurité par mot de passe: un nouvel espoir
Cependant, pour le jour du mot de passe de cette année, il est important de noter qu'un certain nombre de modifications récentes rendent la sécurité du mot de passe plus facile que jamais. Je ne parle pas principalement pour les utilisateurs, même s'ils constituent une partie importante de l'équation.
Au lieu de cela, Microsoft et d’autres se sont finalement entendus pour ne pas étendre les mots de passe et permettre aux utilisateurs de les coller, tout en veillant à ce que les utilisateurs ne récupèrent pas facilement des mots de passe légitimes – ou pwnables -.
Même s'il est toujours important que les entreprises améliorent les données des utilisateurs – y compris les mots de passe – afin de garantir et d'appliquer des normes minimales de sécurité des mots de passe, voyons tout d'abord ce que les utilisateurs finaux peuvent faire pour les aider au mieux. Ensuite, nous continuons à quelles entreprises faire.
Donc, si vous voulez tout savoir sur le sujet, assurez-vous d’envoyer ces conseils à vos employés et à vos clients.
Premier point important: le garder unique
Surtout, le meilleur moyen de protéger vos données et votre vie privée est, dans la mesure du possible, d’utiliser un mot de passe unique pour tous les sites Web et services. Ne jamais utiliser un nouveau mot de passe. Assurez-vous également qu'il ne s'agit pas d'un mot de passe habituel.
Comment sont-ils? Aux côtés de Troy Hunt et de son service Pwned Password, le centre de cybersécurité national du Royaume-Uni a publié une liste des 100 000 mots de passe les plus couramment utilisés dans la cybercriminalité. Les attaquants utilisent souvent des listes comme celle-ci pour tenter de se forcer brutalement à créer des comptes, en utilisant les adresses électroniques qu'ils ont reçues d'autres sources.
La réutilisation de mots de passe signifie que si un attaquant casse un site et vole votre nom d'utilisateur et votre mot de passe, il peut l'utiliser pour tenter de vous connecter à tout autre site ou service que vous utilisez.
Ces références sont florissantes compte tenu de leur simplicité apparente et de leur effet (voir: Reference Fill Attack: Comment combattre les mots de passe réutilisés).
Deuxième point essentiel: utiliser un gestionnaire de mots de passe
La meilleure façon d'être unique est d'externaliser le travail sur un traitement de mot de passe.
Désolé, mais lorsque vient le temps de choisir un mot de passe, des recherches approfondies ont montré que nos choix n'étaient pas assez uniques pour bloquer les attaques par force brute.
Définissez des gestionnaires de mots de passe, qui non seulement génèrent des mots de passe uniques, mais les stockent également, puis récupèrent rapidement – et permettent aux utilisateurs de coller – pour chaque autre site ou service utilisé. Mon gestionnaire de mots de passe contient des centaines d’annonces, d’Amazon, d’eBay, de Guardian, de comptes professionnels, de codes de puces pour animaux de compagnie et de combinaisons de cadenas pour vélo.
Le logiciel de gestion de mots de passe fonctionne sur les PC et les smartphones, ce qui signifie que vous pouvez toujours emporter vos mots de passe avec vous, stockés de manière sécurisée. Dans certains cas, conserver un mot de passe dans un livre peut être une option, de préférence dans un coffre-fort. Mais il est difficile de battre le logiciel.
Troisième Important: Activer d'autres facteurs
Comme l'a noté Martijn Grooten, éditeur de Virus Bulletin, utilisez toujours un facteur différent pour sécuriser vos comptes importants.
Rappel irrégulier que la sécurité par mot de passe est de 1% pour choisir un mot de passe non trivial et que 99% ne l’utilise pas ailleurs. (Et avec un autre facteur pour les comptes les plus importants, bien sûr.) #WorldPasswordDay
– Martijn Grooten (@martijn_grooten) 2 mai 2019
De nombreux sites Web offrent maintenant une authentification en deux étapes. De nombreuses banques proposent des mots de passe à usage unique via SMS (ce qui n'est pas bien) ou une authentification par smartphone (bien mieux).
Quatrième essentiel: les entreprises doivent faire mieux
Choisir des mots de passe uniques reste une chose que les utilisateurs peuvent faire.
Mais l’équation de la sécurité des mots de passe repose en grande partie sur les entreprises qui gèrent les mots de passe correctement, évitent les erreurs de cryptage, fournissent d’autres fonctionnalités d’authentification puissantes et obligent les utilisateurs à réinitialiser leurs mots de passe en cas de doute, notamment après des violations (voir: Le mot de passe Linkedin échoue).
La plupart des fournisseurs de services stockent les mots de passe sous forme de hachages, qui sont des représentations mathématiques d'un mot de passe à texte unique. Les hachages doivent être irréversibles, ce qui signifie qu'il n'est pas possible de commencer avec un hachage et de trouver le mot de passe réel. Mieux encore, les sites Web salent également le mot de passe en y ajoutant des données aléatoires avant le hachage.
Bannir MD5 et SHA1
Cependant, depuis de nombreuses années, de nombreuses entreprises utilisent des algorithmes de hachage, tels que MD5 et SHA1, qui ne convenaient pas à leur utilisation, car ils sont faciles à craquer ou à ne pas saler (voir: Nous sommes tellement stupides à propos des mots de passe: Ashley Madison Edition).
Heureusement, beaucoup ont adopté des algorithmes de hachage de mots de passe tels que bcrypt, qui sont beaucoup plus résistants au matériel de cracking de hachage.
Liste noire mot de passe commun
La liste des mots de passe enregistrés par Troy Hunt et publiés par le NCSC permet aux organisations d'améliorer facilement la sécurité des mots de passe que leurs utilisateurs peuvent choisir (voir: Voici 306 millions de mots de passe que vous ne devriez jamais utiliser).
L'Institut des normes et de la technologie des États-Unis d'Amérique, par exemple, recommande de bloquer les mots de passe ayant déjà été utilisés de manière frauduleuse ou pouvant comporter des caractères répétitifs ou séquentiels ou des mots spécifiques à un contexte.
Libère ton souffle
Les experts en sécurité estiment que les sites Web ne devraient jamais empêcher les utilisateurs de coller des noms d'utilisateur et des mots de passe lorsqu'ils sont approuvés. En effet, les administrateurs de mots de passe offrent aux utilisateurs cette opportunité, ce qui augmente ensuite le processus permettant aux utilisateurs de stocker et d'utiliser des mots de passe uniques.
"Laissez-les coller des mots de passe", "Sacha B." du NCSC écrit dans un article de blog.
Arrêtez l'expiration du mot de passe
De nombreux experts en sécurité, y compris le NCSC – qui fait partie de l'agence de renseignement britannique GCHQ – recommandent également de ne pas forcer les mots de passe habituels à expirer. «C’est l’un des scénarios de sécurité conflictuels: plus les utilisateurs sont forcés de changer de mot de passe, plus la vulnérabilité globale face aux attaques est grande», indique NCSC.
En effet, lorsque les utilisateurs sont obligés de modifier en permanence leurs mots de passe, ils sont trop souvent la norme sur quelque chose de facile à retenir, qui est généralement facile à craquer. Nous, les humains, ne sommes pas doués pour choisir le bon mot de passe "unique" (voir: Sécurité réussie? Arrêtez de rincer les utilisateurs).
Le mot de passe d'expiration est Microsoft, qui exige toujours que les mots de passe Office 365 soient modifiés tous les 90 jours et recommande aux administrateurs Windows de faire de même.
Microsoft se réveille
Enfin, une raison de célébrer la dernière Journée mondiale des mots de passe: le dernier brouillon basé sur la sécurité de Microsoft pour Windows 10 et Windows Server recommande "de supprimer les stratégies d'expiration de mot de passe nécessitant des modifications périodiques du mot de passe".
C’est pourquoi: "L’expiration périodique des mots de passe est une restriction ancienne et obsolète de très faible valeur, et nous ne pensons pas que cela vaut la peine que notre base de référence applique une valeur particulière", a déclaré Microsoft.
"En les supprimant de notre base de référence plutôt que de recommander une valeur particulière ou l'absence d'expiration, les organisations peuvent choisir celui qui correspond le mieux à leurs besoins perçus sans résister à nos conseils", ajoute-t-il. "En même temps, il faut le répéter fort recommande une protection supplémentaire, même si elles ne peuvent pas être exprimées dans nos bases. "
Les doigts croisés, ce changement s'applique également à Office 365, qui exige actuellement que les mots de passe expirent tous les 90 jours. (Je suis venu à Microsoft pour un commentaire et le mettrai à jour dès que j'aurai de nouveau connaissance.)
Commentaires
Laisser un commentaire