Les chercheurs en sécurité affirment désormais que la longueur, la force et la complexité des mots de passe sont sans conséquence.
Depuis des années, les sites technologiques proposent les mêmes conseils sur les mots de passe, notamment en utilisant mots de passe longs et complexes. La honte est que tous ces conseils depuis de nombreuses années n’ont eu que peu ou pas d’effet sur la façon dont votre utilisateur domestique moyen choisit ses mots de passe. Dans ce qui ne peut être décrit que comme une volte-face complète, le consensus actuel parmi les chercheurs en sécurité est que, dans le monde réel, la force, la longueur ou la complexité d’un mot de passe n’a presque jamais d’importance.
Complet divulgation : des parties de cet article sont basées sur cette Article du blog Malwarebytes
Le type d’attaque par mot de passe le plus courant est le credential stuffing, qui utilise des mots de passe volés lors de violations de données. Cela fonctionne parce qu’il est si courant que les gens réutilisent le même mot de passe à deux endroits et qu’il n’est absolument pas affecté par la force du mot de passe. La deuxième attaque la plus courante est la pulvérisation de mots de passe, où les criminels utilisent de courtes listes de mots de passe très simples sur autant d’ordinateurs que possible. Dans les deux situations, un mot de passe ridiculement simple mais unique est suffisant pour vaincre l’attaque.
Il existe de rares types d’attaques-la devinette de mot de passe hors ligne-où un mot de passe fort peut aider, mais le compromis est que les mots de passe forts sont beaucoup plus difficiles à retenir pour les gens, ce qui les amène à utiliser le même mot de passe pour tout, ce qui les rend beaucoup plus vulnérables au credential stuffing ~ <source>
Bien sûr, les gestionnaires de mots de passe représentent une solution valable, mais la réalité est que malgré toutes les années de critiques et de recommandations favorables, la plupart de vos utilisateurs à domicile moyens ne les utilisent toujours pas. Alors, quelle est la réponse ?
Authentification à deux facteurs (2FA)
Je vais commencer par citer un extrait d’un Article de 2019 écrit par Alex Weinert de Microsoft, qui dit…” D’après nos études, votre compte est plus de 99,9 % moins susceptible d’être compromis si vous utilisez MFA“.
Alex l’appelle MFA (authentification multifacteur) et Google l’appelle 2SV (vérification en deux étapes), mais ils signifient tous exactement la même chose : prouver votre identité par plusieurs moyens.
Un mot de passe est toujours requis, bien sûr, plus un moyen d’identification secondaire, qui est généralement sous la forme d’un code unique à 6 chiffres envoyé sur votre téléphone. Maintenant, quand j’ai recommandé 2FA dans le passé, j’ai presque toujours reçu un commentaire de quelqu’un qui est sceptique quant à la divulgation de son numéro de téléphone portable, et je ne peux pas dire que je le blâme. Cependant, j’ai configuré 2FA (via mon numéro de téléphone portable) sur plusieurs comptes il y a quelque temps et je n’ai JAMAIS reçu de spam ou de messages/appels indésirables. La seule fois où j’entends parler de ces comptes, c’est lorsque je me connecte et que 2FA entre en jeu.
Mon téléphone portable est toujours en ma possession et l’accès est protégé, c’est donc, à mon avis, un outil extrêmement moyen sûr de s’assurer que mes comptes ne sont accessibles à personne d’autre. J’ai toujours été réticent à utiliser le téléphone ou mon iPad pour les transactions financières, mais avec 2FA en place, je n’ai pas de tels scrupules. Si j’effectue un paiement via PayPal, par exemple, je serai invité à continuer en saisissant un code de vérification. Je suis heureux de m’y conformer, sachant que, quelle que soit la sécurité de la connexion, je suis le seul à pouvoir recevoir et saisir ce code.
BOTTOM LINE :
Apparemment, le 4 mai était la Journée mondiale du mot de passe, ce dont je n’étais pas au courant. Cependant, si vous ne faites rien d’autre cette année, veuillez envisager de configurer 2FA sur autant de comptes que possible et dès que possible. 2FA, MFA, 2SV, peu importe comment ils l’appellent, est absolument la meilleure méthode pour protéger vos comptes, bien plus efficace qu’un mot de passe seul, quelle que soit sa force ou sa complexité.
Certains comptes offrent 2FA comme facultatif, d’autres pas du tout mais à mon humble avis, 2FA devrait être une exigence obligatoire pour tous les comptes en ligne.
—