Chaque année, à cette époque, je dois remplir la demande de cyberassurance de mon entreprise, et chaque année, on me demande si nous encourageons les mots de passe forts et les changeons fréquemment. Cette question me dérange vraiment, car nous ne devrions vraiment pas changer souvent de mot de passe. Nous devons plutôt choisir des processus d'authentification adaptés aux risques du site ; l'utilisation d'un mot de passe devrait être la dernière chose à laquelle vous voulez faire confiance.
Tout d'abord, pensez aux informations et aux données qu'un site Web stocke à votre sujet. Les sites que nous voulons offrir le plus de protection ont souvent les plus faibles. Lorsque vous le pouvez, ajoutez toujours une authentification à deux facteurs pour accéder à un site. (Toutes les authentifications multifactorielles ne sont pas égales, mais une certaine forme de multifactorielle vaut mieux que rien. Si vous encouragez les attaquants à aller ailleurs, vous avez fait votre travail.
Les banques et les organismes financiers sont souvent lents à déployer des logiciels d'authentification, vous devez donc vous contenter d'un nom d'utilisateur, d'un mot de passe, puis d'un outil d'authentification à deux facteurs, généralement un SMS envoyé à votre smartphone. Bien que les puces SIM des smartphones puissent être clonées (afin que les attaquants puissent usurper votre téléphone et intercepter les messages texte), la grande majorité d'entre nous s'en tirent encore mieux avec ce processus. Compter uniquement sur un nom d'utilisateur et un mot de passe pour accéder à la banque met votre compte en danger.
Pour être juste, tous les mots de passe ne sont pas créés égaux. Si vous avez réutilisé un mot de passe sur un autre site Web ou pour un autre compte bancaire, vous courez un plus grand risque. Les attaquants volent ou achètent souvent un référentiel de mots de passe piratés ou de hachages de mots de passe, puis essaient de les réutiliser pour accéder à d'autres sites. Si vous avez déjà reçu une notification de réinitialisation de mot de passe et que vous n'avez pas tenté de vous connecter au compte, un attaquant tente probablement une attaque de bourrage de mot de passe sur le site. Donc, ne réutilisez pas le même mot de passe n'importe où.
Pendant des années, les utilisateurs en ligne ont été invités à modifier leur nom d'utilisateur pour voir si un site vendait leurs informations ailleurs. Maintenant, je vois le même type de recommandation pour le choix des mots de passe ou des phrases secrètes. Il y a une vidéo vraiment amusante en ligne qui décrit le processus utilisé par les gens pour choisir les mots de passe. Vous avez commencé par choisir un mot de passe, puis vous l'utilisez partout. Ensuite, lorsqu'un site dit que l'un n'est pas assez bon, il ajoute une autre lettre. Vous avez donc besoin d'un caractère spécial (comme le point d'exclamation). La vérité est que notre cerveau ne peut stocker qu'un nombre limité d'informations, nous avons donc tendance à réutiliser le même mot de passe, ou une variante de celui-ci, sur plusieurs sites.
Microsoft recommande souvent l'utilisation de codes PIN au lieu de mots de passe. Il soutient qu'un code PIN est spécifique à l'appareil, donc si un attaquant vole votre code PIN, il doit également voler l'appareil. Il y a un problème avec cet argument. J'ai plusieurs appareils qui nécessitent un code PIN, et je dois admettre que j'utilise le même code PIN sur chacun d'eux car je ne me souviens pas mieux des codes PIN que des mots de passe. Selon Microsoft, l'avantage d'un code PIN est que "lorsque le code PIN est créé, il établit une relation de confiance avec le fournisseur d'identité et crée une paire de clés asymétrique qui est utilisée pour l'authentification". La puce Trusted Platform Module (TPM) de l'ordinateur stocke un code PIN. (Si vous vous demandez pourquoi une machine Windows 10 vous demande d'utiliser un code PIN au lieu d'un mot de passe, c'est parce que le système d'exploitation a enregistré qu'il disposait du matériel pour prendre en charge le processus.) Si vous n'avez pas besoin ou ne souhaitez pas avoir de code PIN, vous pouvez le supprimer. Appuyez sur la touche Windows et la touche I pour ouvrir les paramètres. Choisissez des comptes, puis cliquez sur Continuer. Dans le volet de gauche, cliquez sur Options de connexion. Dans le volet de droite, sélectionnez "Supprimer" dans la section PIN.
Les efforts pour améliorer la sécurité en ligne se multiplient. Intuit a récemment commencé à exiger un mot de passe en ligne même pour se connecter à la version de bureau de QuickBooks, son logiciel de comptabilité et de tenue de livres. Ceux qui ont un fichier QuickBooks contenant des informations sensibles comme la paie ou les cartes de crédit doivent également se connecter d'abord avec un compte en ligne. Pendant des années, les utilisateurs de bureau n'avaient besoin que d'un nom d'utilisateur. Pourtant, de nombreux utilisateurs ont estimé que le changement semblait fastidieux, en particulier lorsqu'il était combiné avec l'obligation de changer les mots de passe tous les 90 jours. (Encore une fois, c'est cette idée qu'il vaut mieux changer votre mot de passe que d'utiliser de meilleurs mots de passe ou d'utiliser l'application Google Authenticator pour accéder à votre compte Intuit.
Même si vous êtes une petite entreprise, vous pouvez ajouter une authentification à deux facteurs à votre propre accès à l'ordinateur pour augmenter la sécurité. Duo.com, par exemple, propose DUO gratuitement pour une mise en œuvre avec moins de 10 utilisateurs. Fournit une invite à deux facteurs à un smartphone ou même à une Apple Watch. Je l'utilise dans mon bureau pour l'accès à distance afin de m'assurer que lorsque quelqu'un se connecte depuis l'extérieur du bureau, il doit répondre à un message sur son téléphone pour y accéder. Sa simplicité d'utilisation me permet de garantir la sécurité des accès à distance et d'éviter les changements de mot de passe à outrance.
Si vous êtes un vendeur ou une agence de cyberassurance, écoutez-moi ! Arrêtez de me demander de changer mon mot de passe. Au lieu de cela, demandez-moi quelle est mon application multifactorielle préférée. C'est le moyen le plus rapide d'améliorer la sécurité pour la plupart des utilisateurs.
Copyright © 2022 IDG Communications, Inc.