2023 rapport sur les mots de passe faible
_e('Posted in', 'specops');?>
Les mots de passe sont faciles à attaquer car beaucoup de gens utilisent des mots de passe faciles à deviner. Ces mots de passe sont faciles à deviner notamment parce que les gens réutilisent les mots de passe et ont recours à des modèles et des thèmes communs. Ces mots de passe se retrouvent ensuite sur des listes de mots de passe compromis et peuvent être attaqués par force brute ou par pulvérisation de mots de passe. Comprendre les modèles de mots de passe courants et les comportements des utilisateurs est la première étape pour sécuriser les mots de passe et les données cruciales de l’entreprise qu’ils protègent.
Le rapport de cette année sur les mots de passe faibles montre pourquoi les mots de passe restent le maillon faible du réseau d’une entreprise et comment l’application d’une politique de mots de passe plus stricte pourrait constituer votre défense la plus efficace.
Quelques faits marquants :
- 83 % des mots de passe compromis sont conformes aux exigences de longueur et de complexité des normes réglementaires en matière de mots de passe.
- 88 % des mots de passe utilisés pour attaquer les ports RDP lors d’attaques réelles comportent 12 caractères ou moins.
- Le terme de base le plus courant que l’on trouve dans les mots de passe utilisés pour attaquer des réseaux sur plusieurs ports reste « password ».
Les recherches présentées dans ce rapport ont été compilées à l’aide de plusieurs méthodes, parmi lesquelles :
- Notre analyse de 800 millions de mots de passe piratés, un sous-ensemble de plus de 3 milliards de mots de passe uniques compromis dans la liste Specops Breached Password Protection.
- Notre analyse des mots de passe trouvés dans des attaques en direct sur le réseau de « honeypot » de notre équipe, une autre source de mots de passe compromis bloqués par la liste Specops Breached Password Protection.
Les données contenues dans ce rapport devraient permettre aux entreprises de prendre conscience de ce problème encore trop répandu. L’étape suivante consiste à engager des mesures, c’est-à-dire à bloquer les mots de passe faibles et compromis, à imposer des exigences en matière de longueur des mots de passe, à imposer au helpdesk la vérification des utilisateurs et à auditer l’environnement de l’entreprise afin de mettre en évidence les vulnérabilités liées aux mots de passe.