Les entreprises sont de plus en plus confrontées aux conséquences de la cybercriminalité(nouvelle fenêtre) : le nombre d’attaques est en augmentation et les dommages causés croissent de manière exponentielle. L’une des vulnérabilités les plus courantes pour les organisations sont leurs mots de passe. Étant donné qu’ils constituent votre point d’entrée dans un compte, ils sont aussi le point le plus faible de votre infrastructure de sécurité.
La première étape pour protéger cela est d’avoir des mots de passe forts et la meilleure façon de l’appliquer est d’avoir une politique de mots de passe forts pour votre équipe. Ci-dessous, nous passons en revue ce que nous considérons comme les parties les plus importantes de toute bonne politique de mots de passe.
- Utilisez des mots de passe aléatoires d’une longueur minimale
- Ne réutilisez jamais les mots de passe
- Activez l’authentification à deux facteurs (A2F)
- Utilisez un gestionnaire de mots de passe
Utilisez des mots de passe aléatoires d’une longueur minimale
Votre politique de mots de passe doit stipuler clairement que tous les mots de passe doivent être entièrement aléatoires, donc créés à l’aide d’un générateur de mots de passe(nouvelle fenêtre) et non par l’esprit humain. Cela s’explique par le fait que les humains ont tendance à créer des mots de passe faciles à mémoriser, plutôt que conçus pour résister à une attaque. En conséquence, ils sont vulnérables aux attaques par force brute, où les attaquants utilisent des logiciels pour « deviner » les mots de passe des utilisateurs.
La randomisation n’est pas la seule manière de créer des mots de passe forts(nouvelle fenêtre). Une autre manière d’augmenter la force d’un mot de passe(nouvelle fenêtre) consiste simplement à allonger le mot de passe(nouvelle fenêtre), avec au moins 16 caractères ou plus, bien que davantage soit préférable. Cela complique également la tâche des pirates informatiques, car plus le mot de passe est long, plus il leur est difficile de le deviner.
Une note sur les phrases secrètes
Les mots de passe aléatoires présentent un inconvénient : ils sont très difficiles à mémoriser. Il existe plusieurs solutions à ce problème, mais la plus simple est de choisir une approche qui combine la longueur du mot de passe et la mémorisation. Les phrases secrètes sont parfaites pour cela.
Nous détaillons davantage dans notre article comparant les phrases secrètes et les mots de passe(nouvelle fenêtre), mais en résumé, les phrases secrètes sont de longues chaînes de mots facilement mémorisables, comme par exemple embaumeur profusément décent aisément. La longueur les rend difficiles à pirater, tout en restant faciles à retenir. Une phrase secrète est idéale pour tout compte, mais son utilisation principale est de déverrouiller votre gestionnaire de mots de passe, ce que nous allons discuter plus loin.
Ne réutilisez jamais les mots de passe
Un autre point important qui devrait faire partie de toute politique de mots de passe est que vous ne devriez jamais réutiliser vos mots de passe. Cela signifie que tous vos comptes doivent avoir leurs propres mots de passe uniques et que vous ne devriez jamais recycler d’anciens mots de passe. Pour chaque nouveau compte que vous créez, vous devez générer un nouveau mot de passe aléatoire.
La raison en est ce qu’on appelle le remplissage d’identifiants(nouvelle fenêtre), où un pirate informatique prendra tous les identifiants divulgués lors d’une grande fuite de données et essaiera des centaines de sites pour voir s’ils fonctionneront également là-bas. C’est un risque sérieux, impliqué également dans des fuites de données de haut profil. Dans un cas, des pirates ont volé les identifiants d’un administrateur Dropbox(nouvelle fenêtre) puis les ont utilisés pour accéder aux pages GitHub de l’entreprise, provoquant toutes sortes de dégâts.
Ce type d’attaque est très courant, mais vous pouvez le rendre sans conséquence tant que vous ne réutilisez jamais les mots de passe et que vous assurez que les membres de votre équipe ne le font pas non plus.
Activez l’authentification à deux facteurs (A2F)
Si les mots de passe protègent vos comptes, l’authentification à deux facteurs(nouvelle fenêtre), mieux connue sous le nom d’A2F, peut protéger vos mots de passe. Si votre mot de passe est le premier facteur, le second facteur est un code temporaire, généralement généré par une application sur votre téléphone (il existe des variantes utilisant les SMS, mais elles ne sont pas très sécurisées(nouvelle fenêtre)). Lorsque vous accédez à un compte, vous devrez saisir à la fois le mot de passe et le code de l’application A2F.
Utiliser l’A2F signifie que même si quelqu’un de non autorisé parvenait à accéder à votre mot de passe, il aurait également besoin du téléphone ou de l’autre appareil qui possède votre application A2F pour accéder à votre compte. L’A2F est le meilleur moyen de se défendre contre les attaques de phishing(nouvelle fenêtre). C’est un outil puissant, mais malheureusement sous-utilisé.
Utilisez un gestionnaire de mots de passe pour assurer le respect des règles
Bien qu’une bonne politique de mots de passe puisse varier selon les équipes et les entreprises, ces éléments sont essentiels à la sécurité de toute organisation :
- Mots de passe aléatoires
- Mots de passe longs
- Mots de passe uniques
- A2F
Bien sûr, cela soulève une autre question, à savoir comment vous allez tout gérer. Se souvenir de mots de passe longs et aléatoires est pratiquement impossible, c’est d’ailleurs leur force, et les suivre manuellement sur un bout de papier n’est pas sécurisé.
Pour vous assurer que votre équipe met réellement en œuvre votre politique de mots de passe, elle aura besoin d’un gestionnaire de mots de passe(nouvelle fenêtre), un logiciel capable de stocker vos mots de passe pour vous.
Un bon gestionnaire de mots de passe ne se contentera pas de stocker les mots de passe, mais aura également un générateur de mots de passe intégré pour créer des mots de passe aléatoires de n’importe quelle longueur lorsque vous en aurez besoin. Il remplira également automatiquement les mots de passe chaque fois que vous vous connecterez à un site sur lequel vous avez un compte. Les gestionnaires de mots de passe ne sont donc pas seulement essentiels à la sécurité, ils améliorent aussi considérablement votre qualité de vie numérique.
Les meilleurs gestionnaires de mots de passe vous alerteront également lorsque vous dupliquez des mots de passe sur plusieurs comptes, afin que vous ne tombiez pas dans le piège de la réutilisation des mots de passe. Plutôt que d’avoir des dizaines de vulnérabilités, vous n’en avez qu’une seule et une phrase secrète bien utilisée peut également très bien protéger celle-ci.
Proton Pass et votre politique de mots de passe
Nous avons développé Proton Pass(nouvelle fenêtre) comme une alternative de gestionnaire de mots de passe qui fait tout ce qui précède et bien plus encore. Il peut non seulement gérer et générer des mots de passe, mais nous vous offrons également la possibilité de créer des phrases secrètes sécurisées, au cas où vous auriez besoin d’un mot de passe plus facile à mémoriser. Il suggère et remplit automatiquement(nouvelle fenêtre) vos informations pendant que vous naviguez, rendant l’administration de compte beaucoup plus simple.
Proton Pass offre également à votre organisation une sécurité sous d’autres formes, comme à travers nos alias d’adresse e-mail « hide-my-email »(nouvelle fenêtre), qui utilisent une adresse e-mail fictive lors de la création d’un nouveau compte en ligne, offrant une couche supplémentaire d’anonymat. Vous pouvez également choisir un de nos abonnements avancés et accéder à Proton Sentinel(nouvelle fenêtre), un programme poussé qui aide à protéger contre les attaques de phishing (hameçonnage).
Mais le plus important, c’est que Proton Pass for Business intègre la prise en charge de l’authentification à deux facteurs (A2F), rendant ainsi beaucoup plus facile pour vos membres d’équipe et pour l’entreprise dans son ensemble, d’adopter cet outil de sécurité essentiel. Au lieu de devoir gérer des applications encombrantes, tous vos outils sont au même endroit. La même sécurité, avec beaucoup moins de tracas.
Proton Pass for Business est le compagnon idéal pour toute politique de mots de passe que vous mettez en place pour votre équipe, permettant à vos collègues de partager de manière sécurisée les identifiants de connexion au travail. Et vous pouvez gérer vos utilisateurs depuis le panneau d’administration, afin de pouvoir accorder ou révoquer l’accès comme nécessaire ou imposer l’A2F. Si nos fonctionnalités vous intéressent, commencez dès aujourd’hui.