+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Coriolan
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2016
    Messages
    497
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 497
    Points : 12 473
    Points
    12 473

    Par défaut Étude : Lastpass révèle huit réalités sur les menaces et opportunités les mots de passe

    Étude : Lastpass révèle huit réalités sur les menaces que posent les mots de passe
    Dans les milieux de travail des entreprises

    L’approche standard de la sécurité de mots de passe a échoué, c’est le constat du rapport The Password Exposé publié par Lastpass. Pire encore, les entreprises ne semblent pas réagir rapidement à cet échec.

    Les mots de passe occupent une place importante dans la vie moderne, que ça soit à domicile ou au travail, la sécurité des mots de passe est capitale et le fait que les employés prennent au sérieux cette sécurité est essentiel pour protéger les intérêts de toute entreprise.

    Le rapport donne un aperçu sur la réalité quotidienne des mots de passe au sein des entreprises. À travers des données d’entreprises anonymisées et cumulées en utilisant Lastpass, la société a pu mesurer l’impact réel des problèmes de mots de passe auxquels font face les entreprises. Le rapport ne se contente pas de rapporter ce que disent les gens, mais révèle plutôt comment les employés utilisent réellement les mots de passe dans leur vie de tous les jours au travail.

    Pour la plupart des gens, la peur d’oublier un mot de passe pèse plus lourd que le risque d’être piraté. Que les mots de passe soient vieux, faibles, réutilisés ou compromis, la mauvaise gestion des mots de passe est la cause principale des brèches de sécurité. Avec plus de 4,2 milliards d’identifiants fuités en l’année 2016 seule, les attaquants peuvent facilement utiliser les mots de passe dérobés pour accéder à un réseau d’entreprise et voler des données.

    Un seul mot de passe réutilisé peut compromettre la sécurité de toute une organisation. Ce problème n’est pas nouveau et s’aggrave d’année en année puisque les violations de sécurité continuent d’impacter les entreprises de toutes les tailles et dans chaque industrie. Étonnamment, et malgré la présence de données, les entreprises ne donnent pas la priorité à cette crise de la sécurité des mots de passe.

    Voici les principales réalités soulevées par le rapport.

    Les mots de passe sont un problème pour tout le monde

    Les chiffres ne mentent pas : les mots de passe sont hors de contrôle. L’étude estime que le nombre moyen de mots de passe circulant dans une entreprise de 250 employés est de 47 750 mots de passe.

    Une entreprise peut-elle vraiment savoir la force de chaque mot de passe ? S’il est réutilisé, faible ou vieux ? Le manque de visibilité rend difficile l’imposition des meilleures pratiques à suivre, sans parler du foisonnement des mots de passe auquel font face les entreprises.

    Les employés sont dépassés par les mots de passe

    191 mots de passe, oui vous avez bien lu, est le nombre de mots de passe qu’un employé moyen gère en utilisant Lastpass. Pas 10, pas 50, mais 191. Malgré les rapports standards de l’industrie qui parlent de 27 mots de passe détenus par chaque employé, ce rapport a relevé une moyenne sept fois supérieure. Cette différence s’explique par la tendance des gens à sous-estimer le nombre de comptes qu’ils ont réellement : si vous êtes un administrateur de systèmes, combien de serveurs gérez-vous réellement ? Quand ces identifiants sont systématiquement collectés et organisés dans une seule place, une représentation plus adéquate de la réalité émerge.

    Le problème des mots de passe continue de s’aggraver

    Le rapport révèle qu’en moyenne, un employé commence avec 20 identifiants dans son coffre-fort et double ce nombre après trois mois seulement. C’est pourquoi 61 % des gens ont tendance à réutiliser le même mot de passe ou un autre similaire partout, malgré le fait qu’ils savent qu’il n’est pas sécurisé. En conséquence, les employés sont submergés par les mots de passe, et c’est un problème qui continue de s’aggraver de jour en jour dans leur travail.

    Nom : how-many-passwords.png
Affichages : 3092
Taille : 62,5 Ko

    Les employés s’identifient constamment

    En moyenne, un employé doit taper les identifiants 154 fois chaque mois pour s’authentifier dans leurs sites et applications. Le rapport indique qu’il faut en moyenne 14 secondes pour taper un mot de passe, soit 36 minutes par mois perdues à cause d’une activité qui n’apporte aucune plus-value à l’entreprise. Quand 76 % des employés informent qu’ils font face à des problèmes réguliers d’usage des mots de passe, il est clair qu’il a aussi un impact significatif sur la productivité et ultimement un coût associé aux identifiants. Les employés souffrent d'inefficacités liées aux mots de passe, ce qui affecte directement le résultat de l’entreprise.

    Nom : login.png
Affichages : 3062
Taille : 96,3 Ko

    Approuvé ou non, le partage de mots de passe est courant

    En moyenne, un employé partage quatre mots de passe avec les autres, selon le rapport. Il est souvent conseillé de laisser vos mots de passe privés et pour une bonne raison, vous minimiserez le risque qu’ils soient récupérés par de mauvaises personnes. Cependant, au travail, le partage d’identifiants et d’autres données sensibles est essentiel pour réaliser les objectifs.

    Que ça soit des comptes de médias sociaux gérés par le service marketing ou les configurations de serveurs gérés par l’IT, pour ne citer que ceux-là, les employés de tous les services ont le besoin de partager des mots de passe. Les mots de passe doivent aussi être partagés fréquemment avec des vendeurs, des partenaires, des clients et d’autres. Puisque le partage devient dans ce cas important, il faudra s’assurer que chaque mot de passe partagé soit unique et changé à chaque fois que l’accès n’est plus nécessaire, surtout quand un employé quitte une entreprise.

    La ligne reste floue entre les mots de passe personnels et professionnels

    Sur les 36 domaines utilisés par les employés dans leur travail, au moins la moitié sont des solutions populaires destinées au grand public. De plus, une étude récente a montré que 23 % des employés utilisent des identifiants de médias sociaux pour se connecter dans les systèmes de travail et les applications. Google, Dropbox, Evernote, pour toutes ces applications populaires, les employés aiment maintenir le contrôle sur ces comptes, malgré le fait qu’ils les utilisent activement au travail et peuvent y sauvegarder ou partager des données sensibles de l’entreprise.

    Nom : personal_pro.png
Affichages : 3260
Taille : 92,0 Ko

    Aujourd’hui, avec l’avènement du BYOD (« bring-your-own-everything »), les employés familiarisés avec la technologie sont devenus la source de services innovants pour le travail. S’ils sont mal gérés, ces applications cachées et comportements vis-à-vis des mots de passe deviennent une menace. Avec une bonne supervision, ces nouvelles technologies favorisent la productivité, l’efficience et même les gains de sécurité à travers l’organisation.

    L’authentification unique n’est pas une solution pour les mots de passe

    L'authentification unique (en anglais Single Sign-On : SSO) est une méthode permettant à un utilisateur d'accéder à plusieurs applications informatiques (ou sites web sécurisés) en ne procédant qu'à une seule authentification.

    Bien que beaucoup d’applications d’entreprises soient compatibles avec la SSO, les données montrent que plus de 50 % des sites web et services les plus populaires ne supportent pas nativement l’authentification unique. De plus, pour les entreprises qui peuvent investir le temps et les ressources afin d’implémenter une solution SSO, elles se contentent d’intégrer les applications de grande valeur qui sont généralisées dans leur organisation. La plupart des applications ne font pas partie de cette catégorie, y compris celles qui ne sont pas contrôlées par le service IT, et sont donc exclues du système et gérées par les employés. Une fois encore, le mauvais contrôle et visibilité laissent ces points d’entrée vulnérables à une mauvaise utilisation de mots de passe.

    Pas assez d’entreprises utilisent l’authentification multifacteur

    26,5 % d’entreprises utilisent une authentification multifacteur pour protéger leurs coffres-forts de mots de passe. Bien qu’une proportion importante d’entreprises commencent à adopter la MFA, elle n’est pas utilisée de façon suffisante afin de pallier les faiblesses des mots de passe.

    Il faut s’attendre à une croissance de l’adoption des solutions d’authentification MFA, avec l’accent mis sur celles qui tirent profit des technologies déjà utilisées, comme les smartphones des employés. De cette façon, le service IT n’a pas à investir dans des appareils additionnels ou onéreux, et les déploiements longs de nouveaux services. Cependant, cette authentification multifacteur ne compense pas les faiblesses d’un mot de passe faible, chaque mot de passe doit être unique et aussi fort que possible afin de se prémunir contre les attaques.

    Ces réalités peuvent être consultées dans ce rapport.

    Source : blog Lastpass

    Et vous ?

    Comment gérez-vous les mots de passe dans votre travail ?
    Quelles sont les solutions que vous utilisez pour assurer une bonne gestion des identifiants ?

    Voir aussi :

    forum Sécurité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre à l'essai
    Profil pro
    Inscrit en
    mars 2009
    Messages
    11
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2009
    Messages : 11
    Points : 15
    Points
    15

    Par défaut Keepass2

    Pour ma part, j'utilise KeePass 2 comme gestionnaire de mot de passe. Je stocke mon fichier de mot de passe sur un Cloud, tel Google Drive, Dropbox... et je génère un mot de passe différent de 20 caractères pour chacun de mes accès.

    C'est plutôt simple d'utilisation, le fichier de mot de passe se met à jour automatiquement entre mes machines synchronisées ce qui me permet d'avoir en permanence mes mots de passe à porté de main. J'utilise cette méthodologie https://www.lecoindunet.com/gestionn...-securite-1340 Seul hic dans cette solution c'est l'authentification à un seul niveau... Mais bon tout dépend du niveau de sécurité souhaité et nécessaire, faut-il être parano ?

  3. #3
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2011
    Messages
    6 298
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 6 298
    Points : 16 279
    Points
    16 279

    Par défaut

    Citation Envoyé par vitch38 Voir le message
    et je génère un mot de passe différent de 20 caractères pour chacun de mes accès.
    Petit joueur, mes mots de passes font au moins 64 caractères. Bon le problème, c'est que certains sites n'aiment pas .


    Mais oui, c'est super-pratique d'avoir un KeePass2 avec une synchronisation de la base entre ses différents ordinateurs. Un petit Seafile auto-hébergé, et le tour est joué. Après, j'aimerais bien utiliser une Yubikey avec KeePass2, mais il faut que je creuse un peu plus.
    On dit "chiffrer" pas "crypter" !

    On dit "bibliothèque" pas "librairie" !

    Ma page DVP : http://neckara.developpez.com/

  4. #4
    Membre à l'essai
    Profil pro
    Inscrit en
    mars 2009
    Messages
    11
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2009
    Messages : 11
    Points : 15
    Points
    15

    Par défaut

    Citation Envoyé par Neckara Voir le message
    Petit joueur, mes mots de passes font au moins 64 caractères.
    20 caractères c'est bien au dessus de la norme. A chacun sa politique, avoir un mot de passe sur Amazon de 64 caractères, perso je n'en vois pas l'intérêt. Pour sécuriser un accès sur un serveur, SSH, une appli critique pourquoi pas encore faut il sécuriser les accès autrement que par un mot de passe (attaque bruteforce ,...)

    Citation Envoyé par Neckara Voir le message
    Après, j'aimerais bien utiliser une Yubikey avec KeePass2, mais il faut que je creuse un peu plus.
    Pour info, utiliser une Yubikey avec Keepass c'est tout à fait possible https://keepass.info/help/kb/yubikey.html et http://www.kahusecurity.com/2014/sec...second-factor/

  5. #5
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2011
    Messages
    6 298
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 6 298
    Points : 16 279
    Points
    16 279

    Par défaut

    Citation Envoyé par vitch38 Voir le message
    20 caractères c'est bien au dessus de la norme. A chacun sa politique, avoir un mot de passe sur Amazon de 64 caractères, perso je n'en vois pas l'intérêt. Pour sécuriser un accès sur un serveur, SSH, une appli critique pourquoi pas encore faut il sécuriser les accès autrement que par un mot de passe (attaque bruteforce ,...)
    Comme on utilise un gestionnaire de mot de passe, la longueur du mot de passe n'est plus vraiment un problème ou un coût. D'ailleurs, à ce niveau là, il serait peut-être plus juste de parler de clé que de mot de passe.

    Le mot de passe à 64 caractères équivaut à "383 bits", un attaquant aurait presque plus vite fait d'attaquer les clés TLS (RSA/AES). Ainsi je m'assure que le "mot de passe", ne sera pas le "maillon faible" du système de sécurité. Même pour une appli critique, c'est tout à fait utilisable.

    Bon... c'est aussi parce que je raisonne en puissance de 2 : 64 = 2^6. J'aurais pu prendre 16 (2^4) ou 32 (2^5), mais avec 64, c'était plus marrant .


    Quant à du brute force sur un mot de passe à 64 caractères... On va dire 1h pour brute forcer un mot de passe de 8 caractères (cela reste optimiste), à 64 caractères, il faudrait 2^262 machines, soit autant que d'atomes dans l'Univers, et attendre 2^26 heures, soit 7 660 années. Donc l'attaque par brute force, j'y crois pas trop .

    Citation Envoyé par vitch38 Voir le message
    Pour info, utiliser une Yubikey avec Keepass c'est tout à fait possible https://keepass.info/help/kb/yubikey.html et http://www.kahusecurity.com/2014/sec...second-factor/
    Je sais, mais il faut que je me trouve le temps de me pencher correctement dessus et de tout installer. Là je dois m'occuper de la sauvegarde de sauvegarde, et de la sauvegarde de ma sauvegarde de sauvegarde (en RAID1 évidemment ).

    Bon j'exagère, la sauvegarde, c'est une synchronisation entre mes différents postes, la sauvegarde de sauvegarde, c'est une sauvegarde en local au cas où le logiciel de synchro devient fou (et en même temps cela me sauvegarde d'autres données non-synchronisées comme mon calendrier), et le dernier niveau de sauvegarde, c'est sur une machine distante... au cas où l'appart' prend feu, je me fais cambrioler, ou que sais-je encore.

    Bon, j'avoue, c'est aussi pour m'amuser un peu.
    On dit "chiffrer" pas "crypter" !

    On dit "bibliothèque" pas "librairie" !

    Ma page DVP : http://neckara.developpez.com/

  6. #6
    Membre expert

    Homme Profil pro
    Ingénieur Etudes et Développements Junior
    Inscrit en
    juillet 2009
    Messages
    942
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur Etudes et Développements Junior
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 942
    Points : 3 766
    Points
    3 766

    Par défaut

    Je ne suis pas vraiment étonné vu que je suis passé par ce genre d'écueils.

    Par contre j'ai tiqué là-dessus : "Les employés souffrent d'inefficacités liées aux mots de passe, ce qui affecte directement le résultat de l’entreprise."

    36 minutes par mois, mon dieu ! Quelle horreur ! Mais que fait la police !
    Bon, me concernant, je ne perds "que" 2 minutes par mois. Ca impacte donc directement les résultats de l'entreprise ^^

  7. #7
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 276
    Points : 6 092
    Points
    6 092

    Par défaut

    Citation Envoyé par LSMetag Voir le message
    36 minutes par mois, mon dieu ! Quelle horreur ! Mais que fait la police !
    continue de faire le malin toi et on va te remplacer par un robot avec moins d'humour tu vas voir
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

Discussions similaires

  1. Réponses: 6
    Dernier message: 25/09/2017, 14h09
  2. Réponses: 11
    Dernier message: 20/05/2016, 11h59
  3. Réponses: 1
    Dernier message: 14/08/2012, 13h12
  4. Réponses: 7
    Dernier message: 05/09/2011, 19h10
  5. Réponses: 7
    Dernier message: 26/06/2011, 17h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo