Journée mondiale du mot de passe : comment garantir une cyber-hygiène solide

Qu'est-ce que la Journée mondiale du mot de passe ?

La Journée mondiale du mot de passe est un rappel aux utilisateurs de mettre à jour les mots de passe faibles ou anciens pour assurer la sécurité des informations personnelles et d'entreprise. Alors que les cybermenaces continuent d'évoluer et que les acteurs malveillants développent de nouvelles techniques d'attaque, une bonne posture de cybersécurité nécessite plus qu'un simple mot de passe fort pour éviter tout compromis.

Comme de nombreux employés continuent de  travailler à distance  de n'importe où ou même dans un modèle hybride, il est essentiel d'avoir un mot de passe fort pour toutes les plateformes car ils n'ont plus le même niveau de support informatique et de sécurité sur site pour les aider.

Journée mondiale du mot de passe : comment les cybercriminels compromettent-ils couramment les mots de passe ?

L'un des éléments les plus importants pour éviter les compromis est de comprendre comment les cybercriminels peuvent tenter d'accéder à vos données critiques. Les techniques d'attaque continuent d'évoluer et de devenir plus sophistiquées, offrant aux cybercriminels une vaste boîte à outils à utiliser pour exploiter les utilisateurs. Voici quelques techniques à surveiller :

•  Attaques d'ingénierie sociale :

• attaques telles que  l' hameçonnage  par e-mail et SMS, où les utilisateurs sont amenés à fournir leurs informations d'identification, à cliquer sur des liens ou des pièces jointes malveillants ou à accéder à des sites Web malveillants.

• Attaques par dictionnaire : 

• l'attaquant utilise une liste de mots courants, appelée dictionnaire, pour tenter d'accéder aux mots de passe en anticipant que des personnes ont utilisé des mots courants ou des mots de passe courts. Leur technique consiste également à ajouter des chiffres avant et/ou après les mots courants pour tenir compte des personnes pensant que le simple fait d'ajouter des chiffres avant et/ou après rend le mot de passe plus complexe à deviner.

• Attaque par force brute : 

• une approche dans laquelle les adversaires génèrent de manière aléatoire des mots de passe et des jeux de caractères pour deviner à plusieurs reprises les mots de passe et les comparer à un hachage cryptographique disponible du mot de passe. 

• Password Spraying : 

• Une forme d'attaque par force brute qui cible plusieurs comptes. Dans une attaque par force brute traditionnelle, les adversaires essaient plusieurs devinettes du mot de passe sur un seul compte, ce qui conduit souvent au verrouillage du compte. Avec la pulvérisation de mots de passe, l'adversaire n'essaie que quelques-uns des mots de passe les plus courants contre plusieurs comptes d'utilisateurs, essayant d'identifier la personne qui utilise un mot de passe par défaut ou facile à deviner et évitant ainsi le scénario de verrouillage de compte.

• Attaque de journalisation des clés : 

• en installant un logiciel de journalisation des clés sur la machine de la victime via généralement une forme d'attaque de phishing par e-mail, l'adversaire peut capturer les frappes au clavier de la victime pour capturer son nom d'utilisateur et ses mots de passe pour ses différents comptes.

• Interception du trafic :  

• les criminels utilisent des logiciels tels que des renifleurs de paquets pour surveiller et capturer le trafic réseau contenant des informations de mot de passe. Si le trafic n'est pas crypté ou utilise des algorithmes de cryptage faibles, la capture des mots de passe devient encore plus facile.

• Man-in-the-middle : 

• Dans ce scénario, l'adversaire s'insère au milieu de l'utilisateur et du site Web ou de l'application visé, généralement en usurpant l'identité de ce site Web ou de cette application. L'adversaire capture alors le nom d'utilisateur et le mot de passe que l'utilisateur entre dans le faux site. Souvent, les attaques de phishing par e-mail conduisent les victimes sans méfiance vers ces faux sites.

Journée mondiale du mot de passe : comment les utilisateurs peuvent-ils empêcher la compromission des mots de passe ?

Les utilisateurs peuvent adopter un certain nombre de tactiques pour s'assurer que les mauvais acteurs ne peuvent pas compromettre leurs informations personnelles grâce aux techniques ci-dessus. Celles-ci doivent inclure : des mots de passe forts, une authentification multifacteur et des fonctionnalités d'authentification unique. En plus de cela, une  solide formation en cybersécurité  est essentielle pour vous protéger, vous, votre famille et votre employeur contre les compromis.

Créer un mot de passe fort

Il est important de développer des mots de passe impossibles à oublier et difficiles à deviner, même pour une personne qui peut connaître des détails intimes de votre vie comme le nom de la rue dans laquelle vous avez grandi ou le nom de votre premier chien. 

Bien qu'il puisse sembler impératif d'ajouter des chiffres et des caractères spéciaux aux mots courants pour développer un mot de passe fort, les cybercriminels peuvent tirer parti d'un certain nombre de techniques d'attaque pour le déchiffrer. 

Évitez d'utiliser les éléments suivants dans un mot de passe :

• Anniversaires
• Les numéros de téléphone
• Informations sur la société
• Noms comprenant des films et des équipes sportives
• Obfuscation simple d'un mot courant ("P@$$w0rd")

Au lieu de cela, la Journée mondiale du mot de passe nous rappelle les meilleures pratiques pour sécuriser vos informations :

• Tirez parti de combinaisons improbables ou apparemment aléatoires de lettres majuscules et minuscules, de chiffres et de symboles, et assurez-vous que vos mots de passe comportent au moins dix caractères pour garantir un mot de passe fort
• Ne partagez pas les mots de passe avec quelqu'un d'autre.
• N'utilisez pas le même mot de passe pour plusieurs comptes, cela augmente la quantité d'informations auxquelles un cybercriminel peut accéder s'il parvient à compromettre votre mot de passe. 
• Changez votre mot de passe tous les trois mois pour réduire la probabilité que votre compte soit compromis.
• Utilisez un gestionnaire de mots de passe pour générer des mots de passe uniques, longs, complexes et facilement modifiables pour tous les comptes en ligne et le stockage crypté sécurisé de ces mots de passe via un coffre-fort local ou basé sur le cloud. Cela vous permettra de vous assurer plus facilement que vous utilisez les mots de passe les plus forts possibles, car vous n'aurez qu'à mémoriser le mot de passe dans votre casier à mot de passe.

Mesures d'authentification et de protection supplémentaires que les utilisateurs devraient prendre lors de la Journée mondiale du mot de passe

Une seule ligne de défense n'est plus efficace pour tenir à distance les cyberattaques avancées. Pour vraiment assurer une posture de sécurité solide, plusieurs tactiques sont nécessaires. Considérer ce qui suit: 

• Authentification multi-facteurs (MFA) :  

• l'authentification multi-facteurs confirme l'identité des utilisateurs en ajoutant une étape supplémentaire au processus d'authentification, que ce soit par le biais de  jetons physiques ou basés sur des applications mobiles . Cela garantit que même si un mot de passe est compromis, les mauvais acteurs ne peuvent pas accéder aux informations. 

• Authentification unique (SSO) :  

• l'authentification unique permet aux utilisateurs de tirer parti d'un nom d'utilisateur et d'un mot de passe uniques et sécurisés pour plusieurs applications au sein d'une organisation. 

• Formation et éducation à la cybersécurité :  

• à mesure que les cybermenaces évoluent et que les acteurs malveillants développent de nouvelles techniques pour cibler les individus, les utilisateurs doivent rester conscients de la cybersécurité et se tenir au courant de l'état du paysage des menaces. Des cours de formation gratuits comme Network Security Expert  (NSE) 1  et  NSE 2 de Fortinet  peuvent aider à éduquer les individus de tout âge sur la façon de se protéger. Avec les programmes Fortinet  Training Advancement Agenda  (TAA) et NSE Training Institute, Fortinet continue de travailler pour combler le déficit de compétences avec des formations et des certifications, des opportunités de carrière et des partenariats clés.

Alors que les individus augmentent le temps qu'ils passent en ligne pour le travail, l'apprentissage en ligne et la communication avec leur famille et leurs amis et que  les cybercriminels intensifient les attaques ciblant ces utilisateurs , il est important d'effectuer une vérification de la posture de sécurité sur tous les comptes, en mettant à jour les mots de passe faibles et obsolètes au fur et à mesure.