De bonnes pratiques en matière de mots de passe permettent de protéger votre entreprise contre les pirates qui tentent de voler des données précieuses. Ce guide sur la création de mots de passe forts vous aidera à assurer la sécurité des informations de votre entreprise.
Comment créer des mots de passe forts ?
Les ordinateurs étant devenus plus puissants et les vitesses de traitement ayant augmenté, les attaques par force brute (où un pirate essaie d’innombrables combinaisons de caractères jusqu’à ce qu’il trouve le bon mot de passe) sont devenues plus efficaces. Pour protéger les données de l’entreprise, la politique relative à la création de mots de passe forts devrait exiger des mots de passe longs et difficiles à deviner.
Les combinaisons de symboles ou de caractères aléatoires sont beaucoup plus sûres que les mots du dictionnaire ou d’autres séquences auto-suffisantes, mais peuvent être difficiles à mémoriser. Cependant, les longues phrases qui utilisent une forte combinaison d’éléments peuvent être une méthode efficace pour combiner complexité et longueur.
Évidemment, un mot de passe différent doit être créé pour chaque application ou site internet. Ces mots de passe sont généralement difficiles à retenir, surtout si les employés en utilisent plus d’une dizaine durant leurs heures de travail. Dans ce cas, il est intéressant d’investir dans un gestionnaire de mot de passe. Le gestionnaire de mot de passe permet de stocker tous les identifiants de manière sécurisée, mais également de générer automatiquement des mots de passe forts pour chaque service. Pour y accéder, il suffit de retenir un seul mot de passe.
Fréquence de changement des mots de passe
La gestion des mots de passe d’entreprise va de la politique en matière de mots de passe à la gestion des tentatives de connexion, en passant par la fréquence à laquelle le mot de passe doit être changé, pour éviter le phishing. Un exemple récent d’hameçonnage massif concerne le service FranceConnect. Pour limiter la période dont dispose un attaquant qui a volé des identifiants d’accès, les politiques de mot de passe dans les banques exigent par exemple que les utilisateurs changent leurs mots de passe tous les 90 jours. Cependant, le vieillissement des mots de passe peut être étendu à 180 jours ou plus sans impact significatif sur la sécurité.
Pour renforcer les paramètres de vieillissement, votre entreprise ou organisation peut également définir une restriction de l’historique des mots de passe afin d’empêcher vos employés d’utiliser des mots de passe connus. En général, une restriction qui affecte les six derniers mots de passe de l’historique des mots de passe est suffisante.
Interdire le partage et la réutilisation des mots de passe
Pour qu’un mot de passe ait une quelconque valeur, il doit être confidentiel. Cela signifie que le partage des mots de passe doit être interdit. Toute exception à cette règle doit être clairement énoncée dans la politique de mot de passe de l’entreprise. Les exceptions au partage des mots de passe peuvent rendre les employés vulnérables aux attaques d’ingénierie sociale, par exemple lorsqu’un attaquant se faisant passer pour un technicien du service d’assistance demande le mot de passe d’un employé pour dépanner une application.
