Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Quatre façons d’amener les utilisateurs finaux à aimer la sécurité des mots de passe (ou du moins à la tolérer).
Lorsque les utilisateurs finaux trouvent les mesures de sécurité de leur organisation lourdes ou frustrantes, cela peut considérablement augmenter le risque de menaces internes. Gartner révèle que 69 % des employés ont ignoré les directives de cybersécurité de leur organisation au cours de l’année écoulée. Cela ne signifie pas que ces employés cherchent à mettre leur organisation en danger, mais plutôt qu’ils veulent simplement poursuivre leur travail et considèrent les mesures de cybersécurité comme des contraintes inutiles.
La cybersécurité et l’expérience utilisateur peuvent-elles aller de pair ?
Les mots de passe sont un excellent exemple de conflit existant entre la cybersécurité et l’expérience de l’utilisateur. L’étude de LastPass révèle qu’un employé moyen peut se retrouver à gérer le nombre impressionnant de 191 identifiants différents. Il peut être fastidieux de se souvenir d’un si grand nombre de mots de passe et d’en changer. En conséquence, l’étude rapporte également que 61 % des employés interrogés admettent réutiliser leurs mots de passe face à tous ces identifiants, tout en admettant en comprendre les conséquences en matière de sécurité. Ce niveau de réutilisation des mots de passe fait courir un risque énorme aux organisations.
Comment les équipes informatiques peuvent-elles améliorer la sécurité des mots de passe, sachant que leurs utilisateurs sont déjà blasés, frustrés et prêts à privilégier la commodité ? Se débarrasser complètement des mots de passe n’est pas une option envisageable pour la plupart des organisations. Il s’agit donc de trouver des pratiques de sécurité efficaces, capables – également – d’offrir une bonne expérience utilisateur. Nous allons étudier les quatre moyens les plus efficaces pour obtenir l’adhésion des utilisateurs finaux à vos efforts en matière de sécurité d’accès.
1. Les passphrases pour des mots de passe forts et faciles à retenir
Les pirates utilisent des techniques de force brute pour tester rapidement de nombreux mots de passe différents à la suite, afin de tenter de craquer celui d’un utilisateur. Ils combinent souvent ces techniques avec des dictionnaires de mots de passe faibles connus et des suites de clavier couramment choisies par les utilisateurs finaux. Les mots de passe courts et peu complexes étant beaucoup plus vulnérables à cette méthode de craquage, il est donc conseillé de créer des mots de passe plus longs et plus complexes.
Cependant, cela peut représenter un casse-tête pour les utilisateurs finaux qui doivent désormais se souvenir de nombreux mots de passe longs et complexes, idéalement de 15 caractères et plus. Une façon de leur faciliter la tâche est d’encourager l’utilisation depassphrases plutôt que de mots de passe. Une passphrase est constituée d’au moins trois mots aléatoires assemblés, par exemple : « Patient-Skylight-Angelfish ». L’ajout de quelques permutations de caractères et l’orthographe volontairement erronée de l’un des mots rendent le mot de passe encore plus fort. Les passphrasess sont également beaucoup plus facile à mémoriser qu’une chaîne de lettres et de chiffres aléatoires d’une longueur équivalente.
La longueur du mot de passe n’est pas tout – elle ne protège pas totalement les informations d’identification contre la compromission par exemple. Mais l’augmentation de la longueur des mots de passe de vos utilisateurs finaux constituera une solide base de défense contre les techniques de force brute utilisées par les attaquants. Les passphrases sont un excellent moyen pour inciter les utilisateurs finaux à créer des mots de passe plus longs sans alourdir leur charge mentale.
2. Un retour d’information dynamique lors de la réinitialisation des mots de passe
Demander à un employé de créer un nouveau mot de passe peut lui donner l’impression de se trouver confronter à une page blanche. Que doit-il choisir ? Qu’est-ce qui est considéré comme suffisamment long ? Quelles sont les choses à faire et à ne pas faire conformément à sa formation à la sécurité et à la sensibilisation aux enjeux, devant être prises en compte dans le processus ? Il est particulièrement frustrant d’enfin se décider pour un nouveau mot de passe et de recevoir un message du type « l’ordinateur dit non » n’explicitant même pas ce que l’on a fait de mal.
Personne ne devrait se sentir seul lorsqu’il adopte des mesures qui contribuent à la sécurité de l’ensemble de son organisation et de ses clients. Fournir un retour d’information dynamique au sujet dumot de passe pendant sa création n’est pas seulement une opportunité d’éducation, mais permet également de valider instantanément si le mot de passe est conforme aux exigences de la politique. Les utilisateurs peuvent voir en temps réel si leur nouveau mot de passe est conforme à la politique de leur organisation et, si ce n’est pas le cas, ils peuvent comprendre pourquoi et y remédier rapidement.
Vous pouvez voir ci-dessous la différence entre un écran de réinitialisation de mot de passe Windows standard et l’écran de réinitialisation de mot de passe dynamique disponible pour les clients de Specops Password Policy et uReset . L’un conduit à une frustration inévitable, tandis que l’autre donne aux utilisateurs finaux le sentiment de travailler en équipe avec leur organisation pour une meilleure sécurité.
3. La durée de vie des mots de passe basé sur sa longueur
Personne n’apprécie de voir son travail interrompu par un changement de mot de passe. Cependant, les mots de passe n’expirant jamais peuvent offrir des opportunités aux pirates informatiques, de sorte que les expirations sont toujours utilisées par les organisations qui n’ont pas la possibilité de scanner leur environnement en continu à la recherche de mots de passe compromis. Pourquoi alors ne pas transformer une expérience utilisateur potentiellement négative en une opportunité ?
La durée de vie des mots de passe basé sur la longueur offre le choix aux utilisateurs finaux. Ils peuvent se contenter de créer un mot de passe répondant tout juste à l’exigence de longueur de l’organisation, mais devront dans ce cas le modifier dans les 90 jours. Ils peuvent également augmenter la longueur du mot de passe et attendre ainsi plus longtemps, peut-être 180 jours, avant que leur mot de passe n’expire.
Plutôt que de forcer chacun des utilisateurs à réinitialiser son mot de passe tous les 90 jours, la durée de vie basé sur sa longeur récompense les personnes qui choisissent des mots de passe plus longs en leur offrant une période plus importante avant l’expiration de leur mot de passe. Cela permet à de trouver un meilleur équilibre entre l’ amélioration de la sécurité et la promotion de l’expérience utilisateur pour les utilisateurs finaux.
4. La surveillance continue des mots de passe compromis
Les méthodes que nous avons observées jusqu’à présent sont efficaces pour guider les utilisateurs finaux vers la création de mots de passe forts, tout en leur donnant plus de visibilité et de compréhension sur les politiques de leur organisation en matière de mots de passe. Cependant, même les mots de passe forts peuvent être compromis et vous ne pouvez jamais être sûr à 100 % que les membres de votre organisation ne réutilisent pas leurs mots de passe. Il doit exister un moyen de détecter les compromissions de mots de passe dans votre Active Directory et de fermer les voies d’attaque potentielles.
Certaines solutions confrontent les mots de passe par rapport à des listes d’informations d’identification compromises lors d’événements d’expiration ou de réinitialisation, mais cela peut laisser des intervalles de temps importants pendant lesquels vous restez vulnérable. Par ailleurs, Specops Password Policy offre des analyses continues avec le service Specops Breached Password Protection. Cet outil détecte les mots de passe compromis au quotidiennement, et non plus seulement lors des changements ou des réinitialisations de mot de passe. La base de données Breached Password Protection, qui compte plus de 4 milliards de mots de passe compromis connus, est mise à jour avec les fuites de mots de passe récemment découvertes, les mots de passe collectés par notre réseau honeypot et les recherches effectuées par notre équipe Threat Intelligence.
Si une organisation a mis en place un système d’analyse continue, elle peut proposer des délais encore plus longs avant l’expiration des mots de passe, sachant que son Active Directory est automatiquement analysé chaque jour à la recherche de mots de passe compromis. Une excellente nouvelle pour les utilisateurs finaux. Si l’on découvre qu’ils utilisent un mot de passe compromis, ils seront avertis par un courriel et/ou un message SMS personnalisable leur demandant de modifier leur mot de passe. Et surtout, cela réduit le risque d’avoir à expérimenter la pire expérience liée aux mots de passe – tant pour les utilisateurs finaux que pour les employeurs : la gestion d’une compromission et ses répercussions.
Améliorer la sécurité des mots de passe et l’expérience utilisateurs
Avec les bons outils, les mots de passe ne seront plus être une source de frustration. Specops Password Policy propose des fonctionnalités comme la mise en place de passphrases, le retour d’information dynamique lors des changements de mot de passe, le vieillissement basé sur la longueur et l’analyse continue de votre Active Directory à la recherche de mots de passe compromis. Discutez avec un expert de la façon dont Specops Password Policy pourrait s’adapter à votre organisation et aider vos utilisateurs finaux.