Les 5 principales choses que le rapport 2022 sur les mots de passe faibles signifie pour la sécurité informatique

Passwords on monitor

Les mots de passe font partie de l’informatique depuis le tout début, il y a plus d’un demi-siècle. Étant donné que les mots de passe ont eu une longévité sans précédent, il semblerait que les meilleures pratiques de sécurité des mots de passe auraient été affinées jusqu’à la perfection et que suivre les meilleures pratiques couramment citées pour l’utilisation des mots de passe serait un moyen garanti de protéger les mots de passe.

Toutefois, Premier rapport annuel sur les mots de passe faibles de Specops Software a donné des résultats intéressants qui peuvent vous amener à repenser la façon dont votre organisation gère les mots de passe.

1. La longueur du mot de passe ne garantit pas la sécurité du mot de passe

L’une des meilleures pratiques en matière de mots de passe les plus anciennes est l’idée que les mots de passe doivent comporter au moins huit caractères. Cette bonne pratique bien intentionnée est basée sur l’idée que les mots de passe plus longs nécessitent plus de ressources de calcul pour être déchiffrés.

Le problème avec cela, cependant, est que les bases de données de mots de passe divulguées ont permis aux cybercriminels de créer des tables de recherche qui peuvent être utilisées pour révéler un mot de passe basé sur son hachage, sans avoir à déchiffrer le mot de passe, ce qui rend la longueur du mot de passe beaucoup moins problématique pour cybercriminels.

Cette idée a été reflétée dans le rapport 2022 sur les mots de passe faibles qui a révélé que 93 % des mots de passe utilisés dans les attaques par force brute comprenaient au moins huit caractères. De même, 41 % des mots de passe utilisés dans des attaques réelles comportent douze caractères ou plus. Ces statistiques soulignent l’idée que même les mots de passe longs peuvent être divulgués.

2. Le mot de passe est souvent saisonnier ou influencé par la culture pop

Le rapport sur les mots de passe faibles a révélé que les mots de passe sont souvent saisonniers et qu’il est également courant que les mots de passe soient influencés par la culture pop. 42% des mots de passe saisonniers par exemple, contenaient le mot « été ».

Les sélections de mots de passe sont souvent saisonnières
Les sélections de mots de passe sont souvent saisonnières

Et ce ne sont pas seulement les saisons de l’année qui semblent influencer l’utilisation des mots de passe. La saison de baseball est un autre type de saison et le rapport a révélé que les Reds de Cincinnati sont apparus dans les listes de mots de passe violés près de 150 000 fois. De même, les Los Angeles Angels, Tampa Bay Raise, New York Mets et Minnesota Twins figuraient également fréquemment sur des listes de mots de passe divulgués.

Sans surprise, les équipes sportives sont loin d’être la seule référence de la culture pop que l’on trouve couramment dans les mots de passe. Les artistes musicaux les plus vendus tels que AC / DC, Kiss et Metallica étaient généralement inclus dans les mots de passe, tout comme les films à succès tels que Star Wars, Spider-Man et Avatar. Pour ceux qui pourraient être curieux, le film le plus souvent référencé dans les mots de passe divulgués était Rocky, qui est apparu près de 96 000 fois.

Bien sûr, ce n’étaient pas seulement les titres de films qui étaient référencés dans les mots de passe, mais aussi les personnages préférés de ces films. Cela était particulièrement vrai pour les films Star Wars et pour divers films de super-héros où les fandoms sont notoirement dédiés.

3. La complexité du mot de passe n’empêche pas le vol d’informations d’identification

Une autre pratique exemplaire de longue date consiste à exiger la complexité des mots de passe. Une organisation peut, par exemple, exiger un mélange de caractères majuscules et minuscules, de chiffres et de symboles. Même ainsi, le rapport sur les mots de passe faibles a révélé que 68 % des mots de passe utilisés dans de véritables attaques comprenaient au moins deux types de caractères différents. Plus de 20 millions de mots de passe divulgués comprenaient des lettres majuscules et minuscules et des chiffres, tandis que plus de 1,5 million de mots de passe divulgués comprenaient des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.

Le fait qu’il y ait eu plus de 13 fois plus de fuites de mots de passe contenant uniquement des lettres majuscules et minuscules et des chiffres qu’une combinaison de lettres majuscules et minuscules, de chiffres et de symboles pourrait initialement suggérer cette complexité, bien qu’elle ne soit pas infaillible. , contribue en effet à la sécurité des mots de passe.

L’explication la plus probable, cependant, est que ceux qui utilisent des mots de passe plus complexes sont probablement plus susceptibles d’éviter les types de comportements à risque qui conduisent si souvent au vol d’informations d’identification.

4. La surcharge de mots de passe est un gros problème

Le rapport a également révélé que la réutilisation des mots de passe est un problème majeur. Specops a récemment interrogé plus de 2000 utilisateurs pour découvrir le rôle que jouent les mots de passe dans leur vie quotidienne.

48% des répondants au sondage indiquent qu’ils ont 11 mots de passe ou plus dont ils doivent se souvenir pour le travail. 71% ont déclaré avoir 11 mots de passe ou plus à retenir pour un usage personnel. L’enquête a révélé que 361 de ces répondants ont admis avoir utilisé le même mot de passe ou un mot de passe similaire sur plusieurs systèmes.

Cela est probablement attribué au fait que les utilisateurs doivent se souvenir de tant de mots de passe différents.

5. Les organisations pourraient faire beaucoup plus pour protéger les mots de passe

Le simple fait qu’il existe une base de données de mots de passe divulgués contenant des millions de mots de passe qui adhèrent aux meilleures pratiques établies depuis longtemps montre clairement la nécessité pour les organisations de faire plus pour garder leurs mots de passe sécurisés. Malgré cela, le rapport 2022 sur les mots de passe faibles a révélé que 54 % des organisations ne disposent pas d’un outil pour gérer les mots de passe professionnels. De plus, 48 ​​% des organisations n’ont pas mis en place de mécanisme de vérification de l’identité des utilisateurs pour leur centre de services, ce qui expose le centre de services à des risques d’ingénierie sociale.

Une façon pour les organisations de mieux gérer l’utilisation des mots de passe consiste à télécharger Specops Password Auditor.

Cet outil gratuit en lecture seule permet aux organisations d’auditer leurs comptes Active Directory pour plus de 813 millions de mots de passe violés connus, de générer des rapports sur les mots de passe et de s’assurer que les mots de passe des utilisateurs sont conformes aux exigences de l’organisation.