Identity-Management.fr

Découvrez comment une étude récente a révélé des éléments alarmants sur les risques en matière de sécurité dans les mots de passe des collaborateurs

Si je vous disais que moins de 1% des mots de passe utilisés aujourd’hui sont réellement complexes, vous y croiriez ? Et bien, c’est malheureusement la triste vérité. Un rapport* récent montre que moins de 1% des mots de passe utilisés à l’heure actuelle sont de nature complexe. En fait, ce rapport décompose la manière dont les personnes fabriquent leurs mots de passe. À titre d’exemple :

• 14% des mots de passe sont dérivés d’un nom de personne (JeanDupont)
• 8% sont dérivés d’un nom de lieu, qui est le plus souvent le lieu de naissance ou de résidence de l’utilisateur (Bordeaux)
• 14% sont purement numériques et dans certains cas, il s’agit d’une suite de chiffres (12345)
• 25% sont des mots pris au hasard dans le dictionnaire (ordinateur)
• Environ 8% sont dérivés d’une suite de touches du clavier, de syntagmes courts , de mots contenus dans l’adresse électronique, ou de mots répétés (respectivement : qsdf, monchatnoir, @apple, rougerouge)
• Enfin, 31% des mots de passe n’ont pas pu être vérifiés au cours de l’étude

Ces informations sont alarmantes pour les administrateurs réseau et les responsables de la sécurité informatique dans tous les domaines d’activité. Même si les administrateurs système définissent généralement des règles de complexité pour la création des mots de passe, tous ne le font pas ; et ceux qui le font risquent néanmoins de constater que les collaborateurs utilisent des mots de passe faciles à identifier (par social engineering ou autre méthode de bruteforce) . Pour enrayer les atteintes à la sécurité de leurs réseaux, les entreprises ont tout intérêt à envisager l’utilisation de solutions de gestion des identités. Il existe plusieurs solutions simples qu’elles peuvent implémenter pour aider à réduire le risque d’atteinte liés à la sécurité des mots de passe.

J’aimerais vous parler en peu de l’implémentation d’une solution nécessitant une authentification à deux niveaux. Cette pratique requiert de sécuriser l’identifiant principal en utilisant un badge ou l’aide de la biométrie. Au lieu de saisir un nom d’utilisateur et un mot de passe, l’utilisateur peut se connecter en présentant un badge au lecteur ou en utilisant l’identification biométrique, puis en saisissant un code PIN. La combinaison du badge (ou de l’identification biométrique) et du code PIN garantit une authentification forte car ce type d’authentification est basé sur quelque chose qui appartient à l’utilisateur (le badge ou la partie du corps à présenter au lecteur) et quelque chose dont il se souvient (le code PIN).
La solution E-SSOM (Enterprise Single Sign On Manager – gestionnaire d’authentification unique pour les entreprises) de Tools4ever supporte un large éventail de carte à puce du marché, tels que HID, Mifare, Biometrie, Gridtoken, ainsi que les dispositifs de proximité et les lecteurs RFID. De même, cette solution propose une intégration native avec le logiciel pilote du lecteur de badges et fait correspondre l'identité du badge avec les identifiants de connexion de l'utilisateur (nom d’utilisateur / mot de passe) dans Active Directory. Aucun logiciel supplémentaire n'est requis pour créer ces correspondances. Cette fonctionnalité garantit une connexion sûre et simple pour tous les utilisateurs.

*Source : The science of password selection, un article de Troy Hunt disponible en anglais