Discussion :

[Nancy Rey]

99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes,
révèle un rapport

À l’occasion de la journée mondiale des mots passe (7 mai), Balbix, fournisseur de système de transformation de la posture de cybersécurité, a publié son rapport sur l'état de l'utilisation des mots de passe en 2020. L'équipe d'analyse de la sécurité de Balbix s'est attachée à déterminer les principaux comportements d'utilisation des mots de passe dans l'entreprise ainsi que les principales tendances des violations causées par des identifiants compromis.

Les résultats de ce rapport ont été recueillis au début de l'année 2020 sur un échantillonnage aléatoire de données provenant de plus de 10 000 utilisateurs de Balbix, parmi des dizaines de comptes d'entreprises représentant tous les grands secteurs d'activité. Ces données ont été recueillies en continu par des capteurs, des connecteurs et des collecteurs déployés sur le réseau d'entreprises pour découvrir, inventorier et surveiller les dispositifs, les applications et les utilisateurs sur plus de 100 vecteurs d'attaque.

Les éléments ont été ensuite introduits dans le logiciel Balbix Brain basé sur le cloud. La probabilité et l'impact des risques ont été ainsi calculés pour chaque actif et vecteur d'attaque. Fournissant une vue hiérarchisée des problèmes les plus risqués dans l'entreprise.

L'étude a révélé que plus de 99 % des utilisateurs réutilisent les mots de passe, soit entre les comptes professionnels, soit entre les comptes professionnels et personnels. La réutilisation des mots de passe est largement répandue en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes.

Le rapport de Balbix a également découvert qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes. De plus, l'utilisateur moyen a plus de 8 mots de passe partagés entre ses différents comptes, dont 7,5 mots de passe partagés entre les comptes professionnels et personnels et 0,8 mot de passe partagé entre les comptes internes et les comptes SaaS (software as service).

« Le passage rapide au télétravail à la suite de COVID-19 a simultanément déplacé l'équilibre du contrôle de l'informatique vers les employés », a déclaré Abe Smith, vétéran de la cybersécurité. « Même les utilisateurs bien intentionnés n'auront pas à l'esprit les meilleures pratiques en matière d'identité, telles que l'authentification multifactorielle et l'évitement de la réutilisation des mots de passe, lorsqu'ils adopteront de nouveaux outils. Les équipes de sécurité doivent trouver des moyens d'automatiser l'identification des risques liés aux mots de passe ».

Les violations causées par des identifiants compromis ne sont pas le fait d'une petite minorité d'utilisateurs ayant une mauvaise hygiène des mots de passe, elles sont le résultat d'un problème généralisé. Le rapport a déterminé les principaux problèmes liés aux mots de passe qui sont les plus responsables du risque global de violation pour l'entreprise. Ils sont énumérés ci-dessous :

• faiblesse et défaillance des systèmes de mots de passe sur les contrôleurs de domaine et autres composants et services d'infrastructure ;
• des identifiants en cache pour se connecter aux systèmes critiques ;
• des machines d'utilisateurs privilégiés avec une forte probabilité d'ouverture de session sur les serveurs centraux ;
• réutilisation du mot de passe entre les comptes professionnels et personnels.

Compte tenu des différents aspects de la sécurité, ce sont les organisations qui ont le moins de contrôle sur les mots de passe. Les utilisateurs souhaitent un haut niveau de commodité et les organisations doivent toujours donner la priorité à la question de la mauvaise hygiène des mots de passe pour remédier au risque associé.

« Les mots de passe compromis, faibles et réutilisés représentent toujours la majorité des violations de données liées au piratage et constituent l'un des principaux risques pour la plupart des entreprises », a déclaré Gaurav Banga, PDG et fondateur de Balbix. « Afin de transformer la posture de cybersécurité et d'accroître la résilience globale, les entreprises doivent systématiquement remédier aux faiblesses de leurs stratégies en matière de mots de passe, en adoptant des technologies éprouvées telles que l'authentification multifactorielle et les gestionnaires de mots de passe ».

source : Balbix

Et vous ?

Utilisez-vous le même mot de passe pour plusieurs comptes ? Pour quelles raisons ?

Voir aussi

L'entreprise Beyond Identity veut supprimer les mots de passe tout en éliminant les frictions de connexion, et en proposant une alternative beaucoup plus sûre aux gestionnaires de mots de passe

Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences, et pour sécuriser les enregistrements sur le cloud

Les pires mots de passe 2018 : « 123456 » trône en tête du classement pour la cinquième année consécutiveEt est suivi par « password » comme en 2017

Facebook a stocké des centaines de millions de mots de passe d'utilisateurs en clair, dans des serveurs internes accessibles à ses employés

[walfrat]

Je suis un réutilisateur de mot de passe et j'ai plusieurs combinaison que je réutilise selon l'importance, si je n'ai qu'un intérêt limité pour un site ou que celui-ci est du genre "inscrivez-vous et on verra ensuite" je passe mon chemin ce qui limite déjà pas mal le nombre de site auquel je m'inscrit.

Pourquoi ? Parce que l'espace dans ma tête est limité et je n'arrive pas à me faire à l'idée de protéger des mots de passe par un autre et je ne vais évidemment pas tenir un carnet de mes comptes avec les mots de passes dedans, j'aurais l'air bien fin si je me le fais prendre...

Quant aux technologies alternatives, elles requiert autre chose que ma tête et je n'aime pas l'idée de devoir donner mon portable alors qu'on dois déjà donner son mail quand on créé un compte.

Enfin les "policy" de mot de passe qui te requiert de changer de mot de passe tous les deux mois, et bien a peu de chose près on peut retracer depuis combien de temps je suis dans ma boite, il suffit de regarder l'état du compteur... et plus ce n'est même pas les même selon l'application, heuresement qu'il y a du SSO dans ma boîte.

Je préfère largement les systèmes à la Gmail ou Steam qui font que l'on requiert moins de combinaison de login/mdp (genre pas un compte par service google, ou un par éditeur de jeu vidéo, et oui je connais les inconvénient lié à la dématérialisation et les offres tel que Steam).

Pour le reste je check HaveIBeenPwned de temps en temps, et pour le moment aucun de mes deux mails perso ou de mon mail pro ne sont concernés.

[Fagus]

Je suis Dr ekyll et M. Hyde...

Dans ma vie privée, je n'ai pas deux mots de passe identiques (gestionnaire de mdp, générateur de mdp longs et plein de symboles, authentification TOTP ou par appli)

Dans ma vie pro... j'ai quasi le même mot de passe court que j'utilise sur tous les outils pro ou à peu près :
- car la politique de la boite est de faire un seul mot de passe lequel est propagé par des scripts internes sur tous les outils métier (de manière tantôt tronquée, tantôt en minuscule , tantôt en maj, tantôt avec changement obligatoire, tantôt impossible, ce qui fait que 95% des utilisateurs n'arrivent plus à se loguer sur tous leurs services assez vite)
- car travaillant parfois sur des postes citrix verrouillés, il peut m'arriver de devoir le saisir et je ne vais pas mettre une passephrase avec 25 symboles (qui vont planter les logiciels métier)

[byrautor]

C'est un concept dépassé car ingérable, compte tenu de la quantité des applications concernées.
Dans certaines banques on vous renvoie sur votre portable qui redemande le mot de passe, que fait-on t-on si le portable est HS !
L'identification "garantie" point à point avec un réseau nul, des machines jouets et des objets virtuels n'est pas pour demain
Nos descendants considéreront probablement tout cela comme des jouets ! utiles certes aujourd'hui.

Un bonne clé USB avec un logiciel ad hoc devrait faire l'affaire !

[schlebe]

C'est très bien de parler des identifications par mot de passe; mais je remarque qu'il est de plus en plus possible de se connecter en utilisant son compte Facebook.

Alors, plutôt que d'avoir plusieurs identifiants avec la possibilité d'avoir un ou plusieurs mots de passe, on aura un identifiant et un seul mot de passe, celui de Facebook.

Je pense que la tendance va s'accélérer au risque de tout perdre lorsque son compte Facebook aura été piraté.

Mais çà c'est une autre histoire.

[FMJ]

Je ne connais que deux mots de passe : un pour Keepass perso et l'autre pour keepass pro.
J'ai des dizaines de comptes : impossibles de tout retenir.
Les comptes sans importance ont le même mot de passe.

[ManPaq]

C'est un concept dépassé car ingérable, compte tenu de la quantité des applications concernées.
Dans certaines banques on vous renvoie sur votre portable qui redemande le mot de passe, que fait-on t-on si le portable est HS !

byrautor

La double authentification offre des alternatives séduisantes et nécessite dans ce cas un mot de passe qui peut être faible (sms, appli, mail, voie postale, ...). Cependant toute ont leur limite (article sur le détournement des empreintes digitales mais sans doute vasculaire aussi)... alors l'usb ~.
Perso mon carnet est ma croix, dans tous les sens (st André, st Antoine, ..., Basque, des chemins, ..., pas gammée néanmoins) mais il est codé.
D'ailleurs je me demande toujours s'il est bien raisonnable de confier à google (l'Alphabet reste la clé) mes id et mdp??? mais comme c'est le cas il me rappel consciencieusement les doublons et m'invective mais me guide afin de corriger cette bévue.