Connaissez-vous le nombre moyen de comptes en ligne détenus par vos collaborateurs ? Vingt-cinq ! Impressionnant, non ? Problème : la plupart des utilisateurs utilisent tout juste 6,5 mots de passe pour les protéger, ce qui signifie qu’un même mot de passe sert en moyenne à se connecter à 3,9 sites différents. C’est ce que nous révèle une étude majeure intitulée A Large Scale Study of Web Password Habits (https://research.microsoft.com/pubs/74164/www2007.pdf). Pratique sans aucun doute, mais surtout très imprudent. Par ailleurs, si vos collaborateurs prêtent aussi peu d'attention à leur propre sécurité, imaginez les risques qu’ils font courir à votre entreprise à chaque connexion sur le lieu de travail.
Il est donc préférable de vous assurer qu’ils utilisent des mots de passe différents pour chacun de leurs comptes. Ainsi, vous pourrez prévenir tout effet domino, à savoir la compromission d’un identifiant qui permet l’accès à un autre site, puis à un autre, etc., car trop d’internautes réutilisent encore le même mot de passe sur plusieurs sites.
Mais cette mesure suffit-elle ? Eh bien, pas vraiment. Bien qu’elle puisse apparaître comme un barrage solide contre le piratage, sachez qu’un hacker déterminé pourra toujours trouver votre mot de passe s’il n’est pas assez fort. Pour cela, il dispose de diverses techniques : listes de mots de passe déjà connus, mots du dictionnaire, informations personnelles, etc.
Pour compliquer la tâche des pirates et les obliger à procéder à des attaques par force brute, vos mots de passe – et le cas échéant, ceux de vos salariés – devraient être des chaînes aléatoires de caractères minuscules et majuscules, de chiffres et de symboles, aussi longues que faisable, afin d'augmenter le nombre de permutations possibles. Bien entendu, avec suffisamment de temps et d'argent, les pirates pourront toujours percer votre code. L’objectif ici est simplement de rendre leur tâche si difficile qu'elle n'en vaille plus la peine, compte tenu des efforts à déployer. Par exemple, un mot de passe de 25 caractères contenant des minuscules, des majuscules, des chiffres et des symboles présente tellement de permutations possibles que, même en lançant une attaque par force brute de l'ordre de millions de tentatives par seconde, un superordinateur aurait besoin de millions d'années pour essayer toutes les combinaisons possibles. Des mots de passe de ce type offrent une excellente protection du réseau.
Autre problème : beaucoup tendent à créer des pense-bêtes pour leurs mots de passe complexes – sur papier, dans des tableurs, sur leur téléphone, dans des e-mails – ou laissent à leur navigateur le soin de les mémoriser pour eux. Il va de soi que vous devrez dissuader ce genre de procédés, certes très pratiques, mais intrinsèquement dangereux.
Mais alors, comment créer et mémoriser facilement des mots de passe forts propres à chaque site ? Les solutions traditionnelles d’authentification à deux facteurs s’avèrent généralement trop coûteuses pour un déploiement universel à travers toute l’entreprise. Heureusement, il existe un autre moyen qui, rassurez-vous, ne repose pas sur une mémoire d’éléphant. Cet autre moyen ne requiert pas non plus les mêmes investissements que pour l’achat, l’implémentation et la gestion d’une solution d’authentification à deux facteurs sur site. Ainsi, les entreprises n’auront plus à choisir de sécuriser un pôle plutôt qu’un autre.
Basé dans le Cloud, Symantec Validation and ID Protection Service (VIP) vous permet de protéger vos réseaux, applications et données sensibles contre les accès non autorisés. VIP offre une solution d’authentification à deux facteurs, ainsi qu’une variété d'identifiants compatibles ‒ des jetons d’accès matériels aux identifiants générés par ordinateur.
En conclusion, pour des mots de passe forts et des solutions d’authentification unifiées, faites appel à Symantec Validation and ID Protection (VIP) Service. Pour plus d’infos sur la sécurité en ligne, téléchargez le rapport Symantec sur les menaces de sécurité des sites Web