Flexible Security for Your Peace of Mind

[Nouvelles données] Ces mots de passe utilisés sur les réseaux sociaux mettent en évidence le danger de la réutilisation des mots de passe

Aujourd’hui, l’équipe de recherche de Specops vous partage les résultats de ses dernières découvertes sur l’usage de mots de passe compromis sur les réseaux sociaux. La publication de ces résultats coïncide avec le dernier ajout au service Specops Breached Password Protection, qui aide les organisations à bloquer le recours à plus de 3 milliards de mots de passe compromis uniques dans Active Directory.

L’équipe a analysé un sous-ensemble de 800 millions de mots de passe de la grande base de données Breached Password Protection pour déterminer quels sont les principaux sites de réseaux sociaux qui se retrouvent dans les données de mots de passe compromis. En tête de liste, on trouve QQ, une application chinoise qui se classe au 10e rang mondial en termes de popularité en 2022 et qui apparaît plus de 3 millions de fois dans ces données. Le premier site anglophone à apparaître dans les données était LinkedIn, avec plus de 114 000 occurrences.

« Nous sommes conscients depuis longtemps que la réutilisation des mots de passe est un problème », déclare Darren James, spécialiste produit chez Specops Software. « Les résultats publiés aujourd’hui ne font que souligner à quel point les frontières personnelles et professionnelles s’estompent dès lors que l’on observe la façon dont vos utilisateurs créent leurs mots de passe. »

Les 10 principales applications de réseaux sociaux trouvées dans les mots de passe compromis sont les suivantes :

  1. QQ
  2. Xing
  3. LinkedIn
  4. Snapchat (Snap ou Snapchat)
  5. Instagram (Insta ou Instagram)
  6. Facebook
  7. YouTube
  8. Skype
  9. Twitter
  10. Weibo

La troisième place de LinkedIn ne surprendra pas ceux qui se souviennent du son piratage en 2012, et dont les données ont également été retrouvées dans les tristement célèbres fuites de Collection. La fameuse compromission de Dropbox qui a suivi, résultat de la réutilisation par un employé d’un mot de passe provenant de la violation de LinkedIn, est une étude de cas sur le danger que représente la réutilisation des mots de passe.

Selon Google, 65 % des personnes admettent réutiliser le même mot de passe sur plusieurs comptes.  De nombreux départements informatiques seraient donc bien avisés de rechercher ces mots de passe dans leurs environnements.

« De nombreuses organisations ne disposent toujours pas de protections solides pour leurs mots de passe, notamment l’analyse des mots de passe compromis. Il suffit de regarder le rapport publié sur les pratiques en matière de mots de passe du ministère de l’Intérieur américain », ajoute James en faisant référence au rapport d’audit du ministère de l’Intérieur américain publié au début du mois. « L’amélioration de la sécurité des mots de passe reste l’une des mesures les plus efficaces qu’un département informatique puisse prendre pour protéger ses réseaux. »

Le rapport, intitulé « P@s$w0rds at the U.S. Department of the Interior : Easily Cracked Passwords, Lack of Multifactor Authentication, and Other Failures Put Critical DOI Systems at Risk », a mis en évidence de nombreuses vulnérabilités dans les mots de passe au sein du ministère lui-même, avec notamment des cas élevés de réutilisation de mots de passe :

  • 20 % de tous les comptes actifs avaient des mots de passe qui étaient utilisés sur plusieurs comptes distincts.
  • La moitié des 10 mots de passe les plus couramment utilisés contenaient une combinaison du mot « password » et de la séquence « 1234 ».
  • 1 compte d’administrateur de domaine (privilèges les plus élevés) signalé comme ayant un mot de passe réutilisé n’avait pas été modifié depuis plus de 150 jours.

Qu’il s’agisse de la réutilisation du mot de passe entre les comptes personnels et professionnels ou de la réutilisation du mot de passe entre différents comptes professionnels, ce comportement des utilisateurs met votre organisation en danger.

Comment trouver et bloquer ces mots de passe réutilisés dans votre réseau ?

La mise à jour du service Breached Password Protection lancée aujourd’hui comprend l’ajout de plus de 29,5 millions de mots de passe compromis à la liste utilisée par Specops Password Auditor.

Vous pouvez savoir combien de vos mots de passe sont compromis ou identiques grâce à un scan de Specops Password Auditor. Specops Password Auditor ne stocke pas les données d’Active Directory et n’apporte aucune modification à Active Directory.

Réduisez le risque de réutilisation de vos mots de passe en bloquant ces mots de passe.

Avec Specops Password Policy et Breached Password Protection, les organisations peuvent empêcher l’utilisation de mots de passe comme ceux-ci et ainsi que celle de plus de 3 milliards d’autres mots de passe compromis connus. Ces mots de passe compromis incluent ceux utilisés dans des attaques réelles aujourd’hui ou qui figurent sur des listes de mots de passe compromis connues, ce qui facilite la mise en conformité avec les réglementations comme celles du NIST ou du NCSC.

Les systèmes de collecte de données de surveillance des attaques de notre équipe mettent le service à jour quotidiennement et garantissent que vos réseaux sont protégés contre les attaques réelles de mots de passe qui se produisent en ce moment même. Le service Breached Password Protection bloque ces mots de passe interdits dans Active Directory avec un message personnalisable pour l’utilisateur final ce qui permet de réduire les appels au helpedesk. Découvrez comment avec une démo ou un essai gratuit.

(Dernière mise à jour le 01/02/2023)

Revenir sur le blog