Conseils et pratiques sur les mots de passe que chaque administrateur devrait appliquer
New mobile apps to keep an eye on
Auctor purus, aliquet risus tincidunt erat nulla sed quam blandit mattis id gravida elementum, amet id libero nibh urna nisi sit sed. Velit enim at purus arcu sed ac. Viverra maecenas id netus euismod phasellus et tempus rutrum tellus nisi, amet porttitor facilisis aenean faucibus eu nec pellentesque id. Volutpat, pellentesque cursus sit at ut a imperdiet duis turpis duis ultrices gravida at aenean amet mattis sed aliquam augue nisl cras suscipit.
- Commodo scelerisque convallis placerat venenatis et enim ullamcorper eros.
- Proin cursus tellus iaculis arcu quam egestas enim volutpat suspendisse
- Sit enim porttitor vehicula consequat urna, eleifend tincidunt vulputate turpis
What new social media mobile apps are available in 2022?
At elit elementum consectetur interdum venenatis et id vestibulum id imperdiet elit urna sed vulputate bibendum aliquam. Tristique lectus tellus amet, mauris lorem venenatis vulputate morbi condimentum felis et lobortis urna amet odio leo tincidunt semper sed bibendum metus, malesuada scelerisque laoreet risus duis.
Use new social media apps as marketing funnels
Ullamcorper pellentesque a ultrices maecenas fermentum neque eget. Habitant cum esat ornare sed. Tristique semper est diam mattis elit. Viverra adipiscing vulputate nibh neque at. Adipiscing tempus id sed arcu accumsan ullamcorper dignissim pulvinar ullamcorper urna, habitasse. Lectus scelerisque euismod risus tristique nullam elementum diam libero sit sed diam rhoncus, accumsan proin amet eu nunc vel turpis eu orci sit fames.
- Eget velit tristique magna convallis orci pellentesque amet non aenean diam
- Duis vitae a cras morbi volutpat et nunc at accumsan ullamcorper enim
- Neque, amet urna lacus tempor, dolor lorem pulvinar quis lacus adipiscing
- Cursus aliquam pharetra amet vehicula elit lectus vivamus orci morbi sollicitudin
“Sit enim porttitor vehicula consequat urna, eleifend tincidunt vulputate turpis, dignissim pulvinar ullamcorper”
Try out Twitter Spaces or Clubhouse on iPhone
Nisi in sem ipsum fermentum massa quisque cursus risus sociis sit massa suspendisse. Neque vulputate sed purus, dui sit diam praesent ullamcorper at in non dignissim iaculis velit nibh eu vitae. Bibendum euismod ipsum euismod urna vestibulum ut ligula. In faucibus egestas dui integer tempor feugiat lorem venenatis sollicitudin quis ultrices cras feugiat iaculis eget.
Try out Twitter Spaces or Clubhouse on iPhone
Id ac imperdiet est eget justo viverra nunc faucibus tempus tempus porttitor commodo sodales sed tellus eu donec enim. Lectus eu viverra ullamcorper ultricies et lacinia nisl ut at aliquet lacus blandit dui arcu at in id amet orci egestas commodo sagittis in. Vel risus magna nibh elementum pellentesque feugiat netus sit donec tellus nunc gravida feugiat nullam dignissim rutrum lacus felis morbi nisi interdum tincidunt. Vestibulum pellentesque cursus magna pulvinar est at quis nisi nam et sed in hac quis vulputate vitae in et sit. Interdum etiam nulla lorem lorem feugiat cursus etiam massa facilisi ut.
Il y a trente ans, le plus dont on devait se souvenir pour un mot de passe était une combinaison de casier d'école ou un cadenas de bureau pour une porte. Aujourd'hui, des mots de passe sont nécessaires pour à peu près tout. Tout service sur Internet ou une application mobile a besoin de son propre mot de passe, et dans le monde des affaires, ils sont omniprésents en tant que clés du royaume sur les réseaux d'entreprise et les ressources numériques partagées. Pas de surprise, les mots de passe et leurs propriétaires continuent de représenter le maillon le plus faible de la sécurité informatique. Heureusement, bon nombre de leurs préoccupations sont également les plus faciles à changer grâce à des mesures de prévention, si les gens les appliquent souvent et correctement. Il existe plusieurs correctifs pour la multitude de mots de passe dont il faut se souvenir maintenant, mais cela ne résout toujours pas le problème fondamental de la mauvaise gestion des mots de passe par les utilisateurs ou les organisations. Et jusqu'à ce que nous atteignions un monde de clés biométriques et d'outils personnels uniques, les mots de passe resteront probablement la norme pendant longtemps. En conséquence, les entreprises et les organisations doivent constamment prendre en compte le facteur humain.
Pourquoi les politiques standard échouent
Les politiques de mot de passe standard ont tendance à s'articuler autour de quatre approches typiques pour la sécurité des noms d'utilisateur et des mots de passe:
- Assurez-vous que la longueur minimale du mot de passe est d'au moins 8 chiffres, mieux si 12 ou 16.
- Beaucoup de complexité dans le mot de passe avec des lettres majuscules et minuscules, des chiffres numériques et des caractères spéciaux.
- S'assurer que les mots de passe sont modifiés régulièrement (généralement 90 jours)
- Règles de verrouillage automatique du compte après un certain nombre de tentatives incorrectes avec un mot de passe incorrect.
Cependant, les politiques communes ci-dessus ne parviennent pas à gérer le facteur humain qui continue à enfreindre les règles attendues. Les problèmes fréquents et frustrants incluent le partage de leurs mots de passe par le personnel pour plus de commodité et un accès plus facile, l'utilisation des informations personnelles, la réutilisation du même mot de passe encore et encore, le fait de ne pas changer un mot de passe après une violation, l'écriture des mots de passe et les laisser sur un bureau ou dans ouvert, ne pas utiliser de défenses à deux facteurs et laisser l'ordinateur allumé pour éviter d'avoir à se connecter. Quiconque pratique occasionnellement des tests de bureau pour les erreurs et les vulnérabilités du personnel trouvera probablement un candidat par effraction dans un délai d'environ deux à trois jours lors d'un audit inopiné. De plus, même si les gens font tout ce qu’ils sont censés faire avec les quatre étapes de prévention courantes, la vulnérabilité par rapport à la technologie anti-sécurité actuelle est toujours élevée. Les outils de piratage de base peuvent simplifier les politiques de mot de passe ou de phrase secrète standard, en particulier avec la puissance des ordinateurs fonctionnant jour et nuit. Ces attaques se présentent sous la forme d'attaques automatisées par force brute et par dictionnaire où un programme devine toutes les possibilités, brisant les questions de sécurité avec des données glanées sur les médias sociaux à propos d'un utilisateur, tout en profitant de mots de passe simplistes comme god ou 12345. Et les plus réussis ont tendance à être toujours des attaques d'ingénierie sociale où les gens abandonnent simplement leurs mots de passe volontairement.
Soyez proactif et arrêtez de vous fier aux utilisateurs
Alors, que peut faire une entreprise? Les violations de données sont-elles inévitables? Interdire plus facile de se souvenir des mots de passe? Si l’on se fie au point de vue de la Security Exchange Commission, les attaques pour les entreprises de toute taille dépendent du moment et non du cas. Heureusement, il y en a d'autres qui peuvent être appliqués administrativement aux comptes d'utilisateurs sans compter entièrement sur ces utilisateurs pour faire leur part. Ces étapes de protection par mot de passe comprennent:
- Forcer les mots de passe faciles à retenir à 16 chiffres avec complexité - Le temps qu'il faut à un programme informatique pour casser un mot de passe à 16 chiffres avec complexité est plus de temps de calcul qu'il n'en faut à un mineur pour déchiffrer un nouveau Bitcoin. Ce genre de difficulté éloigne très rapidement les opportunistes faciles, même avec des outils logiciels. La méthode la plus efficace est, bien sûr, 64 chiffres.
- Utiliser le cryptage des mots de passe - Les réseaux qui chiffrent automatiquement les champs de mot de passe et leur transfert de données bloquent la méthode la plus courante de saisie des mots de passe, le reniflement de réseau. Tout ce que le hacker voit, c'est une tempête de personnages qui n'ont aucun sens. Ne pas utiliser de cryptage laisse littéralement le mot de passe facile à lire sur un réseau ou un canal reniflé.
- Exiger une authentification à deux facteurs - Absolument l'un des outils les plus efficaces disponibles, l'authentification multifacteur force un deuxième code de mot de passe unique à être généré à chaque connexion. Il est facile à appliquer et tout utilisateur avec un téléphone portable connecté ou une clé de jeton peut toujours se connecter sans problème.
- Couchez-vous sur plus de méthodes - Des mots de passe uniques et d'autres outils tels que la voix ou les données biométriques rendent extrêmement difficile l'accès à un système sans la coopération de l'utilisateur. Cela efface le nom d'utilisateur et le mot de passe errants qui sont écrits et volés ou entendus ou vus dans une zone publique.
- Forcer les tests d'acceptation minimum sur les nouveaux mots de passe forts - Vos propres outils serveur comme Windows Server peuvent exiger des critères minimums sur les nouveaux mots de passe dans un réseau, obligeant les utilisateurs à se conformer, qu'ils le veuillent ou non. Cependant, cela peut ne pas fonctionner pour les mots du dictionnaire, auquel cas un administrateur devrait s'appuyer sur des rappels de formation réguliers et vérifier les mots de passe pour les violations.
- Modularisation forcée - En exigeant que les employés aient des mots de passe différents pour différentes parties d'un réseau, cela bloque l'accès à l'ensemble du système même en cas de violation. Cela suit la règle du «moindre privilège d'accès». Personne ne devrait être autorisé à avoir un mot de passe universel.
- Avoir la capacité de Nuke Connected Mobile Devices - Tout appareil connecté à votre réseau doit avoir une exigence de nettoyage à distance. De cette façon, si un téléphone mobile est compromis, vous pouvez immédiatement supprimer complètement cet accès et supprimer d'autres dommages. C'est une défense très efficace contre les appareils mobiles volés ou perdus.
- Exiger la suppression automatique des comptes inutilisés et la séparation des employés - C'est un peu une évidence; tous les comptes non utilisés après 45 jours ou associés à un employé partant doivent être coupés immédiatement par défaut. Ceux-ci fournissent une porte dérobée à toute personne qui les obtient et le compte n'a pas été supprimé ou désactivé.
Les gestionnaires de mots de passe peuvent aider - Les outils de mémoire du logiciel de mot de passe offrent un excellent moyen de gérer les passes, de se souvenir des mots de passe et de stocker les mots de passe avec un canal simple et unique, mais leur force d'une approche à un compte est également leur talon d'Achille. Si le mot de passe du gestionnaire de mots de passe est compromis, tout le reste l'est aussi. Dans ces cas, disposer d'un jeton de sécurité physique ainsi que d'un MFA et d'un mot de passe peut être une meilleure approche avec un gestionnaire de mots de passe.
Il n'y a pas de solution parfaite pour les mots de passe tant qu'ils seront utilisés; l'élément humain présente toujours un risque inhérent, d'autant plus que le nombre d'utilisateurs augmente considérablement. Cependant, une organisation peut prendre de nombreuses mesures pour limiter l'accès et le risque potentiel qu'une erreur de mot de passe peut produire. Les entreprises et les organisations doivent simplement les exercer de manière proactive et tirer parti des outils dont elles disposent déjà. De plus, des couches supplémentaires supplémentaires peuvent augmenter la complexité et les défenses lorsqu'elles sont appliquées. Appelez-nous pour en savoir plus!
