Non classé

Faire la fête tous les jours est la Journée mondiale des mots de passe

Le 2 mai 2019 - 10 minutes de lecture

authentification
,
Gestion des identifiants et des accès
,
Approbation multifactorielle et basée sur les risques

Raison de la célébration: Microsoft cesse de recommander des modifications périodiques du mot de passe

Mathew J. Schwartz
(euroinfosec)


2 mai 2019

Faire la fête tous les jours est la Journée mondiale des mots de passe

Alarme Hallmark: Écoutez, si vous détestez les "journées" consacrées à ceci ou à cela.

Voir aussi: Coucher de soleil de Windows Server 2008: Transfert avec Docker

En plus de célébrer la guerre des mères, des pères et des étoiles, je dirais que nous n’avons pas besoin de plus de jours, merci beaucoup (voir: 7 & # 39; Star Wars Day & # 39; Leçons de cybersécurité).

Mais avec le retour du 2 mai à nouveau, il n’est pas difficile de passer à côté des alertes sans escale indiquant que jeudi est la Journée mondiale des mots de passe.

Alors, voici un conseil: pour quiconque utilise un site Web ou un service, chaque jour doit être un jour de mot de passe. Les attaquants ne dorment certainement pas les 364 autres jours de l'année.

Malheureusement, chaque année, il est demandé à "l'assistance de mot de passe pour la pile à droite" pour agacer et dérouter les utilisateurs, en fonction du choix du mot de passe avec au moins huit caractères, dont le nom de votre premier lama, les premières lettres d'une expression que vous aimez, ainsi que quelques caractères aléatoires. chiffres et symboles.

Sécurité par mot de passe: un nouvel espoir

Cependant, pour le jour du mot de passe de cette année, il est important de noter qu'un certain nombre de modifications récentes rendent la sécurité du mot de passe plus facile que jamais. Je ne parle pas principalement pour les utilisateurs, même s'ils constituent une partie importante de l'équation.

Au lieu de cela, Microsoft et d’autres se sont finalement entendus pour ne pas étendre les mots de passe et permettre aux utilisateurs de les coller, tout en veillant à ce que les utilisateurs ne récupèrent pas facilement des mots de passe légitimes – ou pwnables -.

Même s'il est toujours important que les entreprises améliorent les données des utilisateurs – y compris les mots de passe – afin de garantir et d'appliquer des normes minimales de sécurité des mots de passe, voyons tout d'abord ce que les utilisateurs finaux peuvent faire pour les aider au mieux. Ensuite, nous continuons à quelles entreprises faire.

Donc, si vous voulez tout savoir sur le sujet, assurez-vous d’envoyer ces conseils à vos employés et à vos clients.

Premier point important: le garder unique

Surtout, le meilleur moyen de protéger vos données et votre vie privée est, dans la mesure du possible, d’utiliser un mot de passe unique pour tous les sites Web et services. Ne jamais utiliser un nouveau mot de passe. Assurez-vous également qu'il ne s'agit pas d'un mot de passe habituel.

Comment sont-ils? Aux côtés de Troy Hunt et de son service Pwned Password, le centre de cybersécurité national du Royaume-Uni a publié une liste des 100 000 mots de passe les plus couramment utilisés dans la cybercriminalité. Les attaquants utilisent souvent des listes comme celle-ci pour tenter de se forcer brutalement à créer des comptes, en utilisant les adresses électroniques qu'ils ont reçues d'autres sources.

La réutilisation de mots de passe signifie que si un attaquant casse un site et vole votre nom d'utilisateur et votre mot de passe, il peut l'utiliser pour tenter de vous connecter à tout autre site ou service que vous utilisez.


"C'est le problème sous-jacent", a déclaré Troy Hunt, expert australien en sécurité des mots de passe, à propos des informations d'identification. Les gens ont dit: "Bonjour, j'ai un mot de passe préféré, c'est le nom du chat, et c'est l'année de sa naissance. C'est incroyable et je vais l'utiliser partout."

Ces références sont florissantes compte tenu de leur simplicité apparente et de leur effet (voir: Reference Fill Attack: Comment combattre les mots de passe réutilisés).

Deuxième point essentiel: utiliser un gestionnaire de mots de passe

La meilleure façon d'être unique est d'externaliser le travail sur un traitement de mot de passe.

Désolé, mais lorsque vient le temps de choisir un mot de passe, des recherches approfondies ont montré que nos choix n'étaient pas assez uniques pour bloquer les attaques par force brute.

Définissez des gestionnaires de mots de passe, qui non seulement génèrent des mots de passe uniques, mais les stockent également, puis récupèrent rapidement – et permettent aux utilisateurs de coller – pour chaque autre site ou service utilisé. Mon gestionnaire de mots de passe contient des centaines d’annonces, d’Amazon, d’eBay, de Guardian, de comptes professionnels, de codes de puces pour animaux de compagnie et de combinaisons de cadenas pour vélo.

Le logiciel de gestion de mots de passe fonctionne sur les PC et les smartphones, ce qui signifie que vous pouvez toujours emporter vos mots de passe avec vous, stockés de manière sécurisée. Dans certains cas, conserver un mot de passe dans un livre peut être une option, de préférence dans un coffre-fort. Mais il est difficile de battre le logiciel.

Troisième Important: Activer d'autres facteurs

Comme l'a noté Martijn Grooten, éditeur de Virus Bulletin, utilisez toujours un facteur différent pour sécuriser vos comptes importants.

De nombreux sites Web offrent maintenant une authentification en deux étapes. De nombreuses banques proposent des mots de passe à usage unique via SMS (ce qui n'est pas bien) ou une authentification par smartphone (bien mieux).

Quatrième essentiel: les entreprises doivent faire mieux

Choisir des mots de passe uniques reste une chose que les utilisateurs peuvent faire.

Mais l’équation de la sécurité des mots de passe repose en grande partie sur les entreprises qui gèrent les mots de passe correctement, évitent les erreurs de cryptage, fournissent d’autres fonctionnalités d’authentification puissantes et obligent les utilisateurs à réinitialiser leurs mots de passe en cas de doute, notamment après des violations (voir: Le mot de passe Linkedin échoue).

La plupart des fournisseurs de services stockent les mots de passe sous forme de hachages, qui sont des représentations mathématiques d'un mot de passe à texte unique. Les hachages doivent être irréversibles, ce qui signifie qu'il n'est pas possible de commencer avec un hachage et de trouver le mot de passe réel. Mieux encore, les sites Web salent également le mot de passe en y ajoutant des données aléatoires avant le hachage.

Bannir MD5 et SHA1

Cependant, depuis de nombreuses années, de nombreuses entreprises utilisent des algorithmes de hachage, tels que MD5 et SHA1, qui ne convenaient pas à leur utilisation, car ils sont faciles à craquer ou à ne pas saler (voir: Nous sommes tellement stupides à propos des mots de passe: Ashley Madison Edition).

Heureusement, beaucoup ont adopté des algorithmes de hachage de mots de passe tels que bcrypt, qui sont beaucoup plus résistants au matériel de cracking de hachage.

Liste noire mot de passe commun

La liste des mots de passe enregistrés par Troy Hunt et publiés par le NCSC permet aux organisations d'améliorer facilement la sécurité des mots de passe que leurs utilisateurs peuvent choisir (voir: Voici 306 millions de mots de passe que vous ne devriez jamais utiliser).

L'Institut des normes et de la technologie des États-Unis d'Amérique, par exemple, recommande de bloquer les mots de passe ayant déjà été utilisés de manière frauduleuse ou pouvant comporter des caractères répétitifs ou séquentiels ou des mots spécifiques à un contexte.

Extraits du document d'authentification et de gestion du cycle de vie du NIST, comprenant des conseils pour les services de guidage (CSP). (Source: Troy Hunt)

Libère ton souffle

Les experts en sécurité estiment que les sites Web ne devraient jamais empêcher les utilisateurs de coller des noms d'utilisateur et des mots de passe lorsqu'ils sont approuvés. En effet, les administrateurs de mots de passe offrent aux utilisateurs cette opportunité, ce qui augmente ensuite le processus permettant aux utilisateurs de stocker et d'utiliser des mots de passe uniques.

"Laissez-les coller des mots de passe", "Sacha B." du NCSC écrit dans un article de blog.

Arrêtez l'expiration du mot de passe

De nombreux experts en sécurité, y compris le NCSC – qui fait partie de l'agence de renseignement britannique GCHQ – recommandent également de ne pas forcer les mots de passe habituels à expirer. «C’est l’un des scénarios de sécurité conflictuels: plus les utilisateurs sont forcés de changer de mot de passe, plus la vulnérabilité globale face aux attaques est grande», indique NCSC.

En effet, lorsque les utilisateurs sont obligés de modifier en permanence leurs mots de passe, ils sont trop souvent la norme sur quelque chose de facile à retenir, qui est généralement facile à craquer. Nous, les humains, ne sommes pas doués pour choisir le bon mot de passe "unique" (voir: Sécurité réussie? Arrêtez de rincer les utilisateurs).

Le mot de passe d'expiration est Microsoft, qui exige toujours que les mots de passe Office 365 soient modifiés tous les 90 jours et recommande aux administrateurs Windows de faire de même.

Microsoft se réveille

Enfin, une raison de célébrer la dernière Journée mondiale des mots de passe: le dernier brouillon basé sur la sécurité de Microsoft pour Windows 10 et Windows Server recommande "de supprimer les stratégies d'expiration de mot de passe nécessitant des modifications périodiques du mot de passe".

C’est pourquoi: "L’expiration périodique des mots de passe est une restriction ancienne et obsolète de très faible valeur, et nous ne pensons pas que cela vaut la peine que notre base de référence applique une valeur particulière", a déclaré Microsoft.

"En les supprimant de notre base de référence plutôt que de recommander une valeur particulière ou l'absence d'expiration, les organisations peuvent choisir celui qui correspond le mieux à leurs besoins perçus sans résister à nos conseils", ajoute-t-il. "En même temps, il faut le répéter fort recommande une protection supplémentaire, même si elles ne peuvent pas être exprimées dans nos bases. "

Les doigts croisés, ce changement s'applique également à Office 365, qui exige actuellement que les mots de passe expirent tous les 90 jours. (Je suis venu à Microsoft pour un commentaire et le mettrai à jour dès que j'aurai de nouveau connaissance.)

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.