Les mots de passe font toujours partie de notre vie numérique quotidienne. Voici donc quelques conseils sur les mots de passe des meilleurs experts en sécurité pour vous aider à rester en sécurité en ligne.
Les mots de passe sont devenus en quelque sorte une épine dans le flanc de nombreux experts en cybersécurité. Lorsqu’il s’agit de conseiller les gens sur la meilleure façon de rester en sécurité en ligne, les professionnels de la sécurité sont souvent prompts à suggérer de passer sans mot de passe lorsque cela est possible.
En effet, les mots de passe sont l’une des plus grandes passerelles aux violations de données. Selon le rapport d’enquête Verizon 2019 sur les violations de données, 80% des violations liées au piratage impliquaient des mots de passe compromis et faibles.
Cependant, après avoir parlé à des experts en sécurité tels que Craig Lurey, directeur technique de Keeper Security, il semble que nous devons nous résigner au fait que les mots de passe sont là pour rester, du moins pour le moment.
Alors, que peut-on faire pour renforcer votre sécurité en ligne? Nous avons rassemblé quelques conseils de mots de passe de certains experts en sécurité.
Évitez les mots du dictionnaire
Michael Green est consultant senior en sécurité cloud chez BSI Cybersecurity and Information Resilience Ireland. L’un de ses meilleurs conseils en matière de mots de passe est d’éviter d’utiliser des mots du dictionnaire, en particulier des mots qui pourraient être devinés en fonction d’informations vous concernant qui pourraient être du domaine public.
«Utilisez des mots de passe d’une complexité et d’une longueur suffisantes», a-t-il déclaré. «Ne réutilisez pas les mots de passe sur les applications et les sites Web. J’ajouterais également que les gens devraient éviter de réutiliser les mots de passe avec des modifications telles que l’incrémentation d’un nombre à la fin ou l’ajout d’un caractère spécial, car c’est quelque chose qu’un attaquant peut également tenter. »
Vérifier les violations
Green a également déclaré qu’il conseillait de vérifier si votre compte faisait partie de violations connues sur des sites tels que Have I Been Pwned?.
«Si les informations d’identification font partie d’une violation, l’utilisateur doit sécuriser le compte en question en réinitialisant le mot de passe, réinitialiser les questions de sécurité de sauvegarde et les codes de sauvegarde à usage unique, vérifier et corriger les règles de transfert, et autrement sécuriser le compte et tout autre compte lié, qu’ils soient liés via des mots de passe partagés ou autre », a-t-il déclaré.
Engagez-vous dans une navigation Web sécurisée
Lynn Simons est la directrice principale de la sensibilisation à la sécurité et de l’engagement chez Salesforce. Elle a déclaré que chaque utilisateur devrait s’assurer de s’engager dans une navigation Web sécurisée.
«Assurez-vous que chaque site Web avec lequel vous interagissez est sécurisé. Selon le navigateur, cela peut apparaître sous forme de symbole de verrouillage à côté de l’URL (Chrome) ou https: // (Safari). »
Envisagez un gestionnaire de mots de passe
Pour éviter la fatigue redoutée des mots de passe d’essayer de se souvenir de tant de mots de passe différents et régulièrement modifiés, Green et Simmons ont tous deux recommandé d’utiliser une forme de gestionnaire de mots de passe.
«Il existe différents types et différents fournisseurs que les gens peuvent utiliser pour renforcer la sécurité en générant et en stockant des mots de passe complexes pour chaque site ou application. Évaluez également la sécurité du gestionnaire de mots de passe lui-même, en raison de la sensibilité de ce qui y est stocké », a déclaré Green.
Simmons a nommé LastPass comme un outil pour stocker en toute sécurité les mots de passe, les notes et autres données sensibles.
Réduisez vos applications
Une autre considération importante pour les utilisateurs est que le nombre d’applications qu’ils utilisent et avec lesquelles ils interagissent peut augmenter leur risque d’être piraté.
« Tout est connecté, alors examinez correctement les applications installées sur les appareils du point de vue de la sécurité et soyez tout aussi prudent avec les applications Web et les sites utilisés », a déclaré Green.
«Pour chaque application non installée et chaque site non utilisé, un utilisateur réduit sa surface d’attaque. Les utilisateurs ont-ils vraiment besoin d’utiliser une application Web potentiellement risquée pour convertir un fichier Word en PDF ou Word propose-t-il une option native pour le faire pour l’utilisateur? Oui, Word le fait. Si vous installez une application sur un téléphone qui superpose des masques d’animaux sur votre visage, par exemple, cette application a-t-elle vraiment besoin d’accéder à certaines données sur le téléphone de l’utilisateur, telles que le microphone, les e-mails et le carnet d’adresses? «
Il a fortement encouragé les utilisateurs à réfléchir aux autorisations qu’ils accordent aux applications qu’ils utilisent avant de cliquer sur «oui».
Utiliser l’authentification multifactorielle
Outre une bonne hygiène des mots de passe, d’autres méthodes de sécurité doivent également être envisagées. Jenn Markey, directrice de l’identité chez la société de sécurité Entrust, a déclaré: «Le fait d’exiger un mot de passe et une ou plusieurs informations d’identification supplémentaires, également appelées authentification multifactorielle (MFA), est un bon moyen d’empêcher l’accès non autorisé au compte.»
Cependant, tout comme les mots de passe, la MFA n’est qu’un rouage dans la roue de la cybersécurité et il existe différents types de MFA qui viennent avec différents niveaux de sécurité.
Passer au sans mot de passe
Bien que les mots de passe continuent de vivre parmi nous, la plupart des experts en sécurité se portent garants du passage à un modèle sans mot de passe, même lorsqu’ils demandent des conseils sur les mots de passe.
«Malgré la dépendance continue sur le modèle de mot de passe, mon meilleur conseil serait, plutôt ironiquement, de m’en éloigner», a déclaré Jason Soroko, directeur technique de l’infrastructure à clé publique de la société de cybersécurité Sectigo.
«Les gestionnaires de mots de passe ont connu une popularité croissante, et pourtant ce modèle est encore loin d’être parfait. Si votre point de terminaison est compromis avec un enregistreur de frappe, un nom d’utilisateur / mot de passe complexe n’aidera pas », a-t-il déclaré.
Et bien que Markey préconise l’utilisation de l’authentification multifacteur avec les mots de passe, elle a finalement déclaré qu’il était préférable d’opter pour un système sans mot de passe.
«Au lieu de mots de passe, les chefs d’entreprise devraient travailler avec leurs responsables de la sécurité et de l’informatique pour mettre en œuvre et déployer une authentification sans mot de passe basée sur les informations d’identification, qui fusionne la puissance des certificats numériques avec la biométrie des smartphones pour créer l’identité de lieu de travail de confiance d’un employé, quel que soit le lieu de travail. , » elle a dit.
«En supprimant le mot de passe, vous protégez efficacement votre organisation contre les attaques de phishing, ce qui minimise le risque de violation de données.»
Auteur/autrice
