Discussion :

[Anthony]

90 % des travailleurs réutilisent leurs mots de passe malgré les protocoles de sécurité, 54 % les stockent dans des documents sur leurs systèmes, et 45 % essaient de s'en souvenir en les mémorisant

Les comptes professionnels compromis par des acteurs malveillants peuvent être dangereux, car ils peuvent permettre aux pirates d'accéder à l'ensemble du système de l'entreprise. La réutilisation répétée d'anciens mots de passe peut faciliter la compromission des comptes, mais malgré cela, environ 90 % des travailleurs ont admis avoir réutilisé des mots de passe de comptes.

C'est ce qui ressort d'un rapport publié par Bitwarden, qui a mené une enquête auprès de 800 professionnels de l'informatique de haut niveau au Royaume-Uni et aux États-Unis. 84 % des personnes ayant répondu à cette enquête ont déclaré utiliser un gestionnaire de mots de passe, mais que de nombreuses méthodes peu sûres sont encore utilisées. 54 % des personnes stockent leurs mots de passe dans des documents sur leurs systèmes, et 45 % essaient de s'en souvenir en les mémorisant, ce qui peut rendre leurs systèmes beaucoup moins sûrs qu'ils ne l'auraient été autrement.

Le partage des mots de passe est nécessaire pour la plupart des entreprises afin que les travailleurs puissent collaborer et utiliser des comptes communs, mais les moyens par lesquels ces mots de passe sont partagés sont très risqués. 41 % des personnes s'envoient apparemment des mots de passe de comptes par courrier électronique, et 38 % utilisent des documents en ligne partagés qui contiennent les mots de passe. Ces modes de partage des mots de passe peuvent être facilement interceptés par des acteurs malveillants, et ils peuvent mettre en danger les données sensibles et la propriété intellectuelle d'une entreprise.

Il y a également de bonnes nouvelles à tirer de ce rapport, notamment que le nombre de personnes utilisant l'authentification multifactorielle est passé de 88 % l'année dernière à 92 %. L'hygiène des mots de passe est un véritable problème dans la culture du lieu de travail, certaines erreurs concernent l'utilisation de mots de passe trop simples tels que des séquences numériques ou des phrases courantes. L'utilisation d'un même mot de passe pour de nombreux comptes est également une grave erreur, tout comme le fait de partager ces mots de passe avec des personnes qui n'ont pas besoin d'accéder à ces comptes, comme des amis ou des membres de la famille.

Source : Bitwarden

Et vous ?

Trouvez-vous cette étude pertinente ?
Comment gérez-vous vos mots de passe au sein de votre organisation ?

Voir aussi

59 % des employés utilisent encore leur identifiant et leur mot de passe pour s'authentifier

Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?

« 123456 » est encore le mot de passe le plus utilisé en France selon l'enquête « Top 200 des MdP les plus utilisés »

[walfrat]

En quoi mémoriser son mot de passe est moins sur que d'utiliser un gestionnaire de mot de passe ? Sur l'aspect sécurité j'entends.

Si tu le perd, tu le perd, mais au moins ça va être difficile de te le voler dans ta tête.

Perso je suis dans la catégorie : reuse (mais pas un seul mdp) + mémoire, je n'arrive pas à accrocher à l'idée de protéger des mots de passe par .. un mot de passe et je n'ai tout simplement pas une tête assez bonne pour retenir les 50 mdp différents qu'il me faudrait retenir pour tout les trucs ou j'ai du faire un compte.

[smarties]

Si on combine les mots de passe perso (mails, banque, administratif, assurance, réseaux sociaux, boutiques en lignes, ...) et pro (OS, ERP, portail client et/ou fournisseur, application métier, ...) à retenir, ça fait beaucoup.

Donc je mutualise mes mots de passe et je fais des variantes... du coup parfois il me faut plus de 5 essais pour me connecter à quelque chose que j'utilise rarement.

[Fagus]

A mon boulot il y a une politique de mots de passe assez étrange. A la base tout le monde a un MDP par défaut attribué qui est azerty avec trois chiffres évidents... et un autre composé de son nom prénom. .. puis on est sensé le personnaliser au bout d'un certain temps . Ensuite, ce même mot de passe est propagé partout, mais à cause des logiciels héritage parfois il est tronqué, parfois c'est le login qui est tronqué, parfois il faut tout saisir en majuscules et tronquer... et il faut le changer de temps en temps et ça se propage sur tous les logiciels mais pas en même temps et toujours avec les troncatures variables...
Autant dire que à peu près tous les gens normaux sont perdus et n'arrivent pas à utiliser les logiciels métiers ou errent dans le service jusqu'à trouver quelqu'un qui veut bien faire tourner son code. Si la personne appelle le SAV informatique et que c'est une femme elle a droit a des moqueries sexistes inimaginables à notre époque et parfois une aide mais aucune en général. (C'est beau hein ? C'est payé par vos impôts ).

Pour ma part c'est pas bien, mais comme les mots de passe sont très pénibles à saisir à cause de la lenteur du système et de la complexité des troncatures (le système peut sauter des lettres frappées les mauvais jours...), je lance un gestionnaire de mots de passe perso et de scripts perso en un binaire unique depuis un CD et je retire le CD... comme ça le binaire qui n'a pas de GUI lance des script et des pass selon des commandes claviers improbables et se termine avec la session ou l'inactivité, sans traces. ..


Chez moi, truecrypt plus gestionnaire offline plus 2FA plus yubikey, et aucune redondance de pass et des comptes non liés. .. c'est un peu mieux qu'au boulot je crois.

[Invité]

Bonjour

90 % des travailleurs réutilisent leurs mots de passe malgré les protocoles de sécurité, 54 % les stockent dans des documents sur leurs systèmes, et 45 % essaient de s'en souvenir en les mémorisant

Trouvez-vous cette étude pertinente ?

Oh oui tout à fait !

Comment gérez-vous vos mots de passe au sein de votre organisation ?

Certains utilisent les gestionnaires de mots de passes de Google Chrome / Edge / Firefox. D'autres stockent dans des Excel / Google Sheet . Aussi du Onenote / Google Keep

Pour la question de la reutilisation , forcement quand l'AD / LDAP permet d'accéder au compte machine / Windows / email / RSE ... on "reutilise" le même mdp ^^

S'en souvenir , à minima celui de la session Windows (le post it est planqué sous le clavier ou la souris

[d_d_v]

Personnellement, j'utilise 3 mots mots de passe de "base" qui servent de préfixes aux vrais mots de passe. Un mot de passe faible (pour les sites dont le niveau de sécurité m'importe peu), un moyen, un fort.
Je combine ce mot de passe avec le nom du site, dont je change une ou deux lettres par une autre, via un mini algorithme tout simple, et j'écris cette combinaison codée dans un fichier ou un papier en clair.
Par exemple (exemple de codage totalement fictif ) "<faible><Site>666,e:$"
Si mot de passe faible (<faible>) = 'gaga', <Site> = 'developpez' (nom de domaine sans le .net), et je remplace 'e' par '$', ça donne gagaD$v$lopp$z666
A chacun de faire ses propres systèmes de codage.
Et autant je me fiche un peu qu'on me pirate mon compte developpez.net, c'est une toute autre histoire pour mon compte mail.