Alors que les organisations continuent de faire de la sécurité une priorité, une part importante de cet effort consiste à sensibiliser les utilisateurs et à leur donner les moyens d’appliquer les bonnes pratiques. Tenez compte de certaines de ces statistiques issues du rapport Yubico 2019 State of Password and Security Authentication Security Behaviors Rapport :
2 répondants sur 3 partagent leurs mots de passe avec des collègues
51 % des participants ont déclaré réutiliser leurs mots de passe sur des comptes personnels et professionnels
57 % ont déclaré ne pas avoir changé leurs mots de passe après une tentative de phishing
Pour faire évoluer les pratiques dans une entreprise, les équipes de sécurité et IT doivent sensibiliser les employés aux bonnes pratiques. En matière de gestion des mots de passe, l’un des moyens les plus simples d’encourager une bonne hygiène des mots de passe consiste à déployer une solution de gestion des mots de passe dans toute l’entreprise. Voici quelques bonnes pratiques à adopter.
1. Tirez parti d’une solution de gestion des mots de passe
Tout au long de la journée, la plupart des gens consultent de nombreux sites différents qui nécessitent des mots de passe. Mémoriser de nombreux mots de passe (ou phrases secrètes) uniques et suffisamment robustes est pratiquement impossible. Un gestionnaire de mots de passe simplifie l’utilisation des mots de passe sur différents sites afin de mieux protéger les utilisateurs. Il existe un certain nombre de bons gestionnaires de mots de passe. Privilégiez ceux qui fonctionnent sur plusieurs plateformes et proposent des services aux particuliers gratuitement ou à très faible coût. Les fonctionnalités de la plupart des gestionnaires de mots de passe se sont également étoffées au fil des ans.
2. Choisissez un outil que vous pouvez facilement déployer dans toute votre organisation
Les gestionnaires de mots de passe doivent être faciles à utiliser pour tous les profils d’utilisateurs, des débutants aux plus avancés. Dans le cas d’un effectif important ou réparti, les applications doivent être intuitives et faciles à déployer. Par exemple, que vous choisissiez Bitwarden Cloud ou que vous déployiez votre propre instance auto-hébergée, la mise en service de Bitwarden est simple. Et Bitwarden Directory Connector fonctionne avec les services d’annuaire les plus utilisés aujourd’hui, tels qu’Azure, Active Directory, Google, Okta et d’autres, afin de synchroniser vos utilisateurs Bitwarden avec vos équipes et vos employés.
3. Ne changez vos mots de passe qu’en cas de compromission potentielle
Le temps où l’on changeait son mot de passe tous les trois mois est révolu. Vous ne devriez désormais les changer que si vous pensez avoir été compromis. Le National Institute of Standards and Technology (NIST) ne recommande pas aux utilisateurs de changer fréquemment de mots de passe. Cela conduit en réalité à des comportements susceptibles d’affaiblir les mots de passe au fil du temps. Vous pouvez déterminer si un mot de passe a été compromis en vous appuyant sur des preuves tangibles, comme une fraude à la carte bancaire, ou en utilisant un outil (comme votre gestionnaire de mots de passe) capable d’indiquer si votre mot de passe a été exposé lors d’une violation de données.
4. Utilisez des mots de passe forts et uniques
L’utilisation de mots de passe forts et uniques pour chaque service en ligne que vous utilisez permet de limiter l’impact des violations de données. Un mot de passe fort ne consiste pas nécessairement à ajouter des caractères spéciaux ou des nombres à un mot ou un nom courant ; il s’agit d’augmenter l’entropie, ou le caractère aléatoire, du mot de passe. Une méthode simple pour créer un mot de passe fort consiste à utiliser une phrase secrète. Une phrase secrète combine des mots ou des expressions apparemment sans lien, faciles à mémoriser pour l’utilisateur, mais qui seraient autrement difficiles à deviner pour un attaquant. Les phrases secrètes présentent un degré élevé d’entropie tout en restant faciles à retenir.
5. Activez l’authentification à deux facteurs chaque fois que possible
Avec l’authentification à deux facteurs (2FA), de plus en plus courante sur les sites web grand public et professionnels, un bon gestionnaire de mots de passe inclura des moyens d’étendre cette fonction. L’utilisation de la 2FA renforce la sécurité de votre compte en vous demandant de saisir un autre jeton en plus de votre mot de passe principal. Même si quelqu’un découvrait votre mot de passe principal, il ne pourrait pas se connecter à votre gestionnaire de mots de passe sans avoir accès au jeton supplémentaire. Si vous souhaitez commencer avec un gestionnaire de mots de passe, vous pouvez créer un compte Bitwarden gratuit ici.