Clé à emporter
- Les experts en cybersécurité suggèrent que les mots de passe, en eux-mêmes, ne devraient plus être considérés comme suffisants pour sécuriser les comptes.
- Les utilisateurs doivent activer l'authentification multifacteur (MFA) dans la mesure du possible.
- Cependant, MFA ne doit pas être utilisé comme excuse pour créer des mots de passe faibles.
Les mots de passe les plus forts et les politiques de mot de passe les plus strictes ne sont pas d'une grande utilité lorsque votre fournisseur de services en ligne divulgue vos informations d'identification en raison d'une mauvaise configuration de ses serveurs.
Si vous pensez qu'une telle éventualité serait rare, sachez que bon nombre des plus grandes fuites de données en 2021 étaient dues à des problèmes techniques des fournisseurs de services. En fait, en décembre 2021, des experts en cybersécurité ont aidé à brancher une telle mauvaise configuration dans le compartiment S3 d'Amazon Web Services appartenant à Sega, qui contenait toutes sortes d'informations sensibles, y compris des mots de passe.
"L'utilisation des mots de passe devrait devenir obsolète, et nous devrions rechercher différentes manières de nous connecter aux comptes", a déclaré le PDG du fournisseur de sécurité Gurucul, Saryu Nayyar, à Lifewire par e-mail.
Le problème des mots de passe
En décembre, The Sun a rapporté que la National Crime Agency (NCA) du Royaume-Uni avait fourni plus de 500 millions de mots de passe au service populaire Have I Been Pwned (HIBP), qu'elle avait découvert lors d'une enquête.
HIBP permet aux utilisateurs de vérifier si leurs mots de passe ont été divulgués lors d'une brèche et sont susceptibles d'être abusés par des pirates. Selon le fondateur de HIBP, Troy Hunt, plus de 200 millions de mots de passe fournis par NCA n'existaient pas déjà dans la base de données.
Bien que la fonction de stockage des identifiants de compte des navigateurs soit très pratique… il est recommandé aux utilisateurs de s'abstenir de l'utiliser.
"Cela montre l'ampleur du problème, le problème étant les mots de passe, une méthode archaïque pour prouver sa bonne foi. S'il y a jamais eu un appel à l'action pour travailler à l'élimination des mots de passe et à la recherche d' alternatives, alors cela doit que ce soit ", Baber Amin, COO des experts en identité numérique, Veridium a déclaré à Lifewire par e-mail, en réponse à la récente contribution de la NCA à HIPB.
Amin a ajouté que les informations d'identification divulguées ne compromettent pas seulement les comptes existants, car les pirates les utilisent désormais avec des outils d'analyse basés sur l'IA pour identifier les modèles de création de mots de passe par un individu. Essentiellement, les informations d'identification divulguées compromettent également la sécurité d'autres comptes non compromis.
Mots de passe et plus
Plutôt pour un meilleur mécanisme de protection que les mots de passe, Nayyar suggère que les utilisateurs qui ont la possibilité de configurer l'authentification multifacteur sur leurs comptes le fassent.
Ron Bradley, vice-président de Shared Assessments, une organisation de membres qui aide à développer les meilleures pratiques pour l'assurance des risques tiers, est d'accord. "Activez l'authentification multifacteur partout où c'est possible, en particulier les applications qui transfèrent de l'argent."
La sécurisation d'un compte avec un seul mot de passe est connue sous le nom d'authentification à facteur unique. L'authentification multifacteur ou MFA s'appuie sur cela et sécurise les comptes en ajoutant une étape supplémentaire dans le processus de connexion en demandant aux utilisateurs une autre information. De nombreux services, dont plusieurs banques, implémentent l'authentification multifacteur en envoyant un code de vérification au numéro de mobile d'un utilisateur enregistré auprès de la banque.
Cependant, ce mécanisme de vérification est sujet à un mécanisme d'attaque connu sous le nom d'attaque par échange de carte SIM, où les attaquants prennent le contrôle du numéro de téléphone mobile d'une cible en incitant l'opérateur du propriétaire à réattribuer le numéro à la carte SIM de l'attaquant.
Tout en reconnaissant qu'une telle attaque visait certains de ses clients, T-Mobile a déclaré que les attaques par échange de carte SIM sont devenues un phénomène courant et répandu dans l'industrie.
Au lieu de cela, une meilleure option pour activer MFA consiste à utiliser des applications telles que Duo Security, Google Authenticator, Authy, Microsoft Authenticator et d'autres applications MFA dédiées.
Étendue des mots de passe
Cependant, tous les experts en cybersécurité à qui nous avons parlé ont averti que l'utilisation de MFA ne devrait pas être une excuse pour ne pas prendre les mesures adéquates pour sécuriser les mots de passe.
"Faites partie des un pour cent qui n'ont aucune idée de leur mot de passe bancaire car il est trop long et complexe", a conseillé Bradley.
Il ajoute que les utilisateurs devraient envisager d'investir dans un gestionnaire de mots de passe lorsqu'il s'agit de mots de passe. Bien qu'il n'y ait pas de pénurie de gestionnaires de mots de passe gratuits, et qu'il y en ait un également intégré à votre navigateur Web, les experts suggèrent qu'un gestionnaire de mots de passe gratuit vaut mieux que de ne pas en avoir du tout, mais les utilisateurs doivent faire preuve de prudence lorsqu'ils en utilisent un.
Faites partie des un pour cent qui n'ont aucune idée de leur mot de passe bancaire car il est trop long et complexe.
Alors qu'ils enquêtaient sur une récente violation du réseau interne d'une entreprise, les chercheurs en cybersécurité d'AhnLab ont découvert que le compte VPN utilisé pour s'introduire dans le réseau de l'entreprise avait été divulgué depuis le PC d'un employé travaillant à distance.
Ce PC a été infecté par divers logiciels malveillants, dont un conçu spécifiquement pour extraire les mots de passe des gestionnaires de mots de passe intégrés aux navigateurs Web basés sur Chromium tels que Google Chrome et Microsoft Edge.
"Bien que la fonction de stockage des identifiants de compte des navigateurs soit très pratique, car il existe un risque de fuite des identifiants de compte lors d'une infection par un logiciel malveillant, il est recommandé aux utilisateurs de s'abstenir de l'utiliser", préviennent les chercheurs d'AhnLab.