Conseils pour améliorer la sécurité des mots de passe dans votre entreprise
Ce troisième article de notre « Série d’authentification » examine la sécurité des mots de passe du point de vue d’une organisation : ce qu’il faut éviter et des conseils pour aider à rendre votre environnement plus sûr pour vos utilisateurs et votre entreprise. Vous pouvez lire les deux premiers messages ici: AU blog, MFA blog.
This short 2 minute video explains what’s important and mistakes to avoid
Les mots de passe restent la solution d’authentification la plus utilisée pour vérifier l’identité d’un utilisateur. En tant qu’élément « quelque chose que vous savez » dans une architecture d’authentification multifacteur (MFA), les mots de passe restent le premier facteur le plus courant, même s’ils sont de loin l’élément le plus faible des technologies d’authentification disponibles sur le marché libre.
Afin de protéger vos utilisateurs contre l’usurpation d’identité en ligne, il est prudent de revoir régulièrement vos solutions d’authentification. Cela inclut l’utilisation de mots de passe et les politiques affectant leur mise en œuvre et leur utilité. Ils devraient être capables de résister à un vaste barrage d’attaques, sans entraîner un comportement d’utilisateur peu sûr en raison de leur nature complexe et hostile.
Explorez Catalyst AU et les services d’intégration système
L’évolution de la sécurité des mots de passe
Revoyons rapidement ce que sont les mots de passe. En tant que séquence de caractères qui sont entrés dans un système informatique pour vérifier l’identité d’un utilisateur, dans leur forme la plus simple, ils peuvent avoir n’importe quelle longueur et n’importe quelle combinaison de caractères.
Au début
Dans de nombreux systèmes informatiques, la politique de sécurité par défaut des mots de passe n’a pas évolué depuis leur introduction. Par conséquent, il est toujours possible pour les utilisateurs de définir leur mot de passe sur des mots simples et facilement devinables tels que leur nom, leur date de naissance ou le nom de leur animal de compagnie.
Même les administrateurs système font de mauvais choix de mot de passe, le mot de passe temporaire le plus utilisé étant Password1 – un problème lorsqu’il reste inchangé pendant une période prolongée. Il est clair pourquoi ces mots de passe ne sont pas sécurisés, même un attaquant débutant pourrait les deviner – avec un accès au profil public Facebook ou LinkedIn de l’utilisateur et un peu de temps pour saisir quelques suppositions.
L’introduction de mots de passe forts obligatoires
De nombreuses organisations encouragent désormais l’utilisation de mots de passe forts et, dans la mesure du possible, configurent leurs systèmes pour appliquer des règles de complexité qui empêchent l’utilisateur de choisir ceux qui peuvent être facilement devinés à l’aide de techniques d’attaque courantes, telles qu’une attaque par dictionnaire. Vous pouvez lire sur les formes courantes d’attaques pour voler des mots de passe dans notre MFA blog.
Le problème est, du point de vue de l’utilisateur, que choisir un bon mot de passe est plus difficile qu’il n’y paraît (et instantanément oubliable s’il ne fait pas partie de votre répertoire de mots de passe). Des politiques peuvent être écrites pour aider les utilisateurs à faire de meilleurs choix, les équipes informatiques mettant en œuvre des technologies qui empêchent les choix non sécurisés afin que la résilience de l’identité soit inhérente à leur base d’utilisateurs. Les algorithmes de correspondance fonctionnent dans une certaine mesure, mais bon nombre de ces vérifications algorithmiques ne parviennent pas à repérer les mots du dictionnaire cachés dans une enveloppe de caractères spéciaux et de chiffres, tels que le nom de l’utilisateur avec une majuscule au début, suivi d’un nombre et d’un point d’exclamation. . Choisir un mot de passe tel que Andrew1! permet à l’utilisateur de contourner le vérificateur de complexité de l’organisation, tout en laissant Andrew exposé à des attaques de dictionnaire relativement peu sophistiquées.
Listes de refus de mot de passe
Un grand nombre d’organisations implémentent désormais des listes de refus de mots de passe, comme le recommande le National Institute of Standards and Technology (NIST) des États-Unis. Ces listes de refus contiennent tous les mots de passe trouvés dans les violations de données, comme ceux que Troy Hunt publie sur son site Web Have I Been Pwned website.
Troy fournit de nombreuses ressources précieuses sur son site Web, comme un fichier contenant les 100 000 meilleurs mots de passe. Les administrateurs informatiques peuvent utiliser ces mots de passe comme base de leurs listes de refus.
Bien que des stratégies aient été introduites pour appliquer des mots de passe plus forts, il existe d’autres défis à gérer.
Réutilisation des mots de passe et comptes partagés
La réutilisation des mots de passe est un facteur de risque majeur pour les organisations et leurs utilisateurs. Une fois qu’un attaquant vole le mot de passe d’une victime et prouve qu’il fonctionne, il recueillera des informations sur tous les services supplémentaires utilisés par la victime et tentera de s’authentifier à l’aide des mêmes informations d’identification violées.
Mots de passe non cryptés et hachages de mots de passe
Malheureusement, un grand nombre de personnes réutilisent les mots de passe sur plusieurs comptes en ligne, estimant que si le mot de passe est suffisamment complexe, ils restent protégés.
La réalité est que ce n’est pas toujours la force du mot de passe qui l’expose à une attaque. Il peut y avoir un problème avec la mise en œuvre de la sécurité sur le site Web ou le service, où les attaquants volent des mots de passe non cryptés ou un ensemble de mots de passe cryptés (mots de passe cryptés stockés sur le serveur), permettant à l’attaquant de passer autant de temps qu’il le souhaite à essayer de comprendre quels sont les mots de passe pour tous les utilisateurs de ce site.
L’exécution d’outils qui utilisent des dictionnaires et des attaques par force brute contre ces hachages produira presque certainement des résultats que le pirate pourra ensuite réutiliser contre d’autres services en ligne ou même contre l’université ou l’employeur de l’utilisateur.
Les comptes partagés augmentent la surface d’attaque
Les comptes partagés sont un problème courant pour les organisations, en particulier lorsqu’il existe une fonction partagée ou un partage de travail – avec plusieurs personnes se connectant au même compte. Cela expose une organisation à plusieurs risques, tels que les problèmes de complexité des mots de passe et les problèmes de réutilisation dont nous avons déjà parlé. Cependant, cela signifie également que la surface d’attaque (l’étendue de l’exposition en ligne) est considérablement augmentée.
Dans une enquête post-violation impliquant des comptes partagés, une organisation perd sa responsabilité individuelle et sa traçabilité. Cela signifie qu’il serait incapable de déterminer lequel des utilisateurs a été attaqué, car il n’y a aucun moyen de lier le compte utilisateur aux actions de la personne qui l’utilisait à un moment donné.
C’est particulièrement courant dans les réseaux où il y a un composant d’entreprise et un composant opérationnel ou de système de contrôle industriel (ICS). Dans de tels déploiements, les attaquants ont pu pénétrer dans le réseau de l’entreprise et se déplacer latéralement vers le réseau interne en raison d’une mauvaise segmentation du réseau, où un seul point faible (comme un mot de passe de l’une de ces listes sur une boîte dans une DMZ) a permis traversée. Lors de la première occurrence du malware TRITON/TRISIS, l’attaquant a violé le VPN de périmètre externe, puis a pivoté en interne à l’aide de RDP en raison d’une mauvaise segmentation.
Gestionnaires de mots de passe – le bon et le mauvais
Le recours à un outil de gestion de mots de passe qui stocke des mots de passe complexes au nom de vos utilisateurs est une très bonne chose. Cependant, il y a quelques problèmes qui peuvent affecter l’exposition au risque.
Les gestionnaires de mots de passe s’appuient sur un compte incroyablement sécurisé qui ouvre l’accès à tous les autres comptes appartenant à l’utilisateur. Si ce compte est piraté d’une manière ou d’une autre, l’utilisateur est dans un monde de douleur, car chaque service en ligne qu’il utilise est désormais en danger. S’appuyer sur ce type de services signifie que vous êtes sûr que le fournisseur a fait tout son possible pour créer une application sécurisée et qu’il n’y a pas de vulnérabilités dans le gestionnaire de mots de passe qui permettent à un attaquant de contourner la porte d’entrée sécurisée.
Nous recommandons que les gestionnaires de mots de passe aient certainement leur place dans le monde de l’authentification, mais il est préférable de les intégrer dans une approche de sécurité plus stratifiée, afin qu’ils complètent votre architecture plutôt que d’être le contrôle principal.
Sensibiliser à la cybersécurité
Étant donné que les mots de passe sont susceptibles d’exister pendant un certain temps encore, il est extrêmement important que, dans le cadre de la formation de sensibilisation à la cybersécurité de votre organisation, la sécurité des mots de passe soit un sujet de préoccupation.
Lorsque vous entreprenez une formation de sensibilisation, il ne faut pas oublier qu’il ne s’agit pas seulement de savoir comment les utilisateurs peuvent créer des mots de passe forts, mais aussi d’expliquer aux utilisateurs pourquoi certaines choses sont importantes. Montrez à vos utilisateurs le site Web Have I Been Pwned de Troy Hunt et dirigez-les vers les conseils sur les mots de passe. Encouragez-les à être proactifs et testez toutes leurs adresses e-mail personnelles pour voir si leurs comptes ont déjà fait l’objet d’une violation. C’est un exercice qui ouvre les yeux et qui en vaut la peine. De plus, ce type d’apprentissage colle plutôt que de véhiculer un ensemble de règles abstraites pour la complexité des mots de passe.
Comment vérifier si les noms d’utilisateur ont été violés
Il est possible, en utilisant des sites comme Have I Been Pwned, de vérifier par programmation tous les noms d’utilisateur de votre organisation pour voir si certains ont été trouvés dans des violations publiques. De nombreuses personnes utilisent leur messagerie professionnelle pour s’inscrire à des services privés, voire à des services professionnels qui ne sont pas connectés au domaine interne.
Accompagnement pour la mise en place de MFA et AU
Si vous souhaitez découvrir comment Catalyst peut vous aider à mettre en œuvre MFA et AU dans votre organisation, nous aimerions avoir de vos nouvelles.