Suivez ces étapes essentielles pour survivre au jeu des mots de passe
Le déchiffrage des codes est une pratique qui remonte à l’époque romaine et cette science est toujours en plein essor. Les identifiants volés ou compromis sont le principal vecteur d’attaque dans 19 % des cyberviolations.[1]
Les identifiants de connexion ont leur importance. Il en va de même pour leur gestion.
Quel que soit leur rôle, la personne constitue généralement la première ligne de défense en matière de cybersécurité et c’est elle qui est responsable des mots de passe. Vous vous efforcez d’adhérer au système de notation des mots de passe, et on vous suggère de changer de mot de passe tous les 90 jours. Pour plusieurs, c’est une tâche ardue.
Utilisez plutôt des phrases de passe. Une phrase de passe, ou un petit groupe de mots accolés, est beaucoup plus facile à retenir et présente des avantages notables en matière de sécurité. La longueur augmente de façon exponentielle l’effort requis pour déchiffrer un code. Calculez les combinaisons possibles pour cette phrase : « Le roi Arthur tenait sa cour autour de la table ronde. » C’est 4343 – un défi plus important pour les pirates qu’un mot de passe plus court. Lors de la création d’une phrase de passe, la longueur et l’imprévisibilité sont essentielles, tout comme la rareté. N’utilisez pas une chanson préférée ou une citation du Petit prince. Choisissez quelque chose d’ésotérique.
Parallèlement au passage aux phrases de passe, prenez soin d’utiliser des identifiants différents d’un site à l’autre. Si un pirate s’introduit dans votre compte Google et récupère ce mot de passe, il pourrait ensuite l’utiliser pour se connecter à de nombreux autres comptes qui partagent le même mot de passe. Réfléchissez : Combien de sites Web stockent vos identifiants? Prenez la fois où vous avez acheté un cadeau au hasard sur un site commercial. Vous n’êtes jamais retourné sur ce site, mais la société a omis de stocker votre mot de passe sous forme de hachage cryptographique. Votre mot de passe est maintenant connu et c’est ainsi que commence l’art criminel du credential stuffing (ou bourrage d’identifiant) qui consiste en l’injection automatique de couples nom d’utilisateur/mot de passe volés dans des formulaires d’ouverture de session pour accéder à des comptes.[2]
Au mot-clic #SoyonsCybervigilants :
- Utilisez des phrases de passe. Procurez-vous un gestionnaire de mots de passe. Un gestionnaire de mots de passe vous aidera à retenir vos identifiants de connexion tout en préservant la sécurité. Pour les comptes sensibles, comme les comptes bancaires, créez une phrase de passe. Autorisez le gestionnaire de mots de passe à créer des mots de passe générés aléatoirement pour d’autres comptes et ne modifiez pas vos identifiants, à moins d’être informé d’une atteinte à la protection des données.
- Activer l’AFM. L’authentification multifacteur est un incontournable. Si elle est offerte, utilisez-la, mais comprenez que toutes les AFM ne sont pas égales. Un message texte envoyé à un téléphone n’est pas aussi sécurisé qu’un générateur de codes. Il est recommandé d’utiliser une clé de sécurité pour authentifier la connexion à votre gestionnaire de mots de passe ou à votre institution financière. Et même si les données biométriques sont pratiques, vous portez votre « code » biométrique au grand jour, tous les jours. Il est infiniment piratable et ne peut être modifié comme un mot de passe.
- Sécurisez les paramètres de récupération de compte. Examinez les options de recouvrement de compte parmi vos comptes essentiels. En réponse à des questions de sécurité, utilisez une phrase de passe. Par exemple, si on vous demande le nom de la mascotte de votre école secondaire comme question de récupération de compte, n’entrez pas « Requins ». Cette information est facilement accessible.
Prendre des décisions éclairées peut contribuer à sécuriser notre monde interconnecté.
[1] Cost of Data Breach Report 2022. July 2022. IBM Ponemon. Retrieved from: https://www.ibm.com/downloads/cas/3R8N1DZJ
[2] OWASP Foundation. Retrieved from: https://owsp.org