Les résultats, partagés ci-dessous, soulignent à quel point les mots de passe faibles sont courants dans les organisations. Voici le top 10 des mots les plus fréquemment utilisés dans les mots de passe Nvidia récemment divulgués (note : aucun des exemples donnés dans cet article n’est plus aujourd’hui utilisé comme mot de passe) :
- - nvidia
- - nvidia3d
- - mellanox
- - ready2wrk
- - welcome
- - password
- - mynvidia3d
- - nvda
- - qwerty
- - september
Trouver « nvidia » dans cette liste révèle que l’organisation n’utilisait pas de dictionnaire personnalisé dans ses protections par mot de passe. « Septembre » à la 10e place montre que les employés de Nvidia choisissent les mots de passe de la même manière que le reste du monde (les saisons et les mois en cours sont les termes les plus fréquents dans les mots de passe compromis).
Pourquoi les mots de passe faibles sont-ils utilisés ?
Comme indiqué dans le rapport 2022 sur les mots de passe faibles de Specops, près de 48 % des employés doivent se souvenir de plus de 11 mots de passe dans leur seul univers professionnel. Avec cette charge mentale, il est compréhensible que les employés se tournent vers des mots de passe plus simples, des modèles de construction non sécurisés ou la réutilisation de mots de passe.
Bien sûr, la construction de mots de passe faibles n’est pas la seule vulnérabilité des mots de passe dont les organisations ont à s’inquiéter. Le mot de passe le plus fort au monde devient faible s’il est connu d’un pirate informatique.
Alors, que faire ?
Si nous lisons de plus en plus de choses sur les cyberattaques subies par des géants de la tech (comme Nvidia), les pirates peuvent aussi s'en prendre à des PME ou à des entreprises de secteurs non stratégiques. Par conséquent, toutes les entreprises et organisations doivent aller au-delà des traditionnelles bonnes pratiques du « mot de passe fort » et assurer la sécurité des comptes et des données.
Voici trois conseils à suivre :
1. Bloquez les mots de passe faibles et compromis
Selon une étude, environ 1 million de mots de passe sont volés chaque semaine. De plus, une enquête menée par PCMag en 2021 a révélé que 70 % des personnes interrogées admettaient utiliser le même mot de passe à plusieurs reprises, ce qui rend chaque utilisation vulnérable à une violation. Les entreprises doivent donc mettre en place un outil qui bloque systématiquement, non seulement les mots de passe faibles qui ne répondent pas aux exigences de longueur et de complexité, mais aussi les mots de passe compromis connus.
2. Ajouter des couches supplémentaires à l'authentification multifacteurs
Les entreprises peuvent ajouter d'autres couches à leur authentification multifacteurs (AMF) existante et aux processus de sécurité, comme la biométrie, des jetons/codes d'authentification, des questions secrètes et des applications d'authentification. Chaque méthode d'authentification multifacteurs a ses forces et ses faiblesses et aucune n'est entièrement à l'abri des cyberattaques. Toutefois, les dirigeants d'entreprises tech ont indiqué que l'utilisation de l'AMF pouvait prévenir 80 à 90 % des cyberattaques.
3. Aider le helpdesk à vérifier l’identité des utilisateurs
En juin 2021, des pirates ont infiltré un canal de discussion Slack chez EA et ont manipulé un employé du support informatique afin qu'il leur donne un jeton AMF pour accéder au réseau social de l’entreprise. Cette arnaque d'ingénierie sociale a finalement abouti au vol de 780 Go de données. La vérification de l'utilisateur par le service d'assistance IT permet de reconnaître les escroqueries et d'établir une interface sécurisée avec les employés, ce qui renforce la sécurité de l'entreprise. L'AMF renforcée est un excellent moyen d'y parvenir.
Conclusion : Il faut s’attaquer au problème dès aujourd’hui
Les entreprises doivent aller au-delà des traditionnelles bonnes pratiques de mots de passe, et s'attaquer au problème sans tarder, car la prévention est moins coûteuse que les dégâts pouvant être causés par des attaques. Exploitez tous les outils disponibles d’Active Directory et renforcez votre politique de mots de passe AD, ou adoptez un outil tiers comme Specops Password Policy qui peut vous aider à le faire, de manière simple et efficace. Quelle que soit la façon que vous choisirez pour y parvenir, nous souhaitons que 2022 soit votre année pour résoudre le problème des mots de passe faibles !