IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les mots de passe faibles permettent encore aux pirates de pénétrer dans les réseaux.


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Femme Profil pro
    Rédacteur Web
    Inscrit en
    Mars 2020
    Messages
    838
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur Web

    Informations forums :
    Inscription : Mars 2020
    Messages : 838
    Points : 58 035
    Points
    58 035
    Par défaut Les mots de passe faibles permettent encore aux pirates de pénétrer dans les réseaux.
    Les mots de passe faibles permettent encore aux pirates de pénétrer dans les réseaux,
    83 % des mots de passe compromis satisfont aux exigences des normes de conformité en matière de cybersécurité

    Une nouvelle étude de Specops Software révèle que 88 % des mots de passe utilisés dans les attaques réussies sont composés de 12 caractères ou moins, le plus courant ne comportant que huit caractères (24 %). L'étude, réalisée en grande partie à partir de l'analyse de 800 millions de mots de passe piratés, révèle que les termes de base les plus couramment utilisés dans les mots de passe sont tristement familiers : « password », « admin », « welcome » et « p@ssw0rd ».

    Nom : Screenshot_2023-03-13 Weak passwords are still allowing attackers into networks.png
Affichages : 1227
Taille : 467,3 Ko

    Les mots de passe ne contenant que des lettres minuscules sont la combinaison de caractères la plus courante, représentant 18,82 % des mots de passe utilisés dans les attaques. Toutefois, l'étude révèle également que 83 % des mots de passe compromis satisfont aux exigences de longueur et de complexité des normes de conformité en matière de cybersécurité, telles que NIST, PCI, ICO pour RGPD, HITRUST pour HIPAA et Cyber Essentials pour NCSC.

    « Cela montre que même si les organisations font des efforts concertés pour suivre les meilleures pratiques en matière de mots de passe et les normes de l'industrie, il faut faire plus pour s'assurer que les mots de passe sont forts et uniques. Avec la sophistication des attaques modernes par mot de passe, des mesures de sécurité supplémentaires sont toujours nécessaires pour protéger l'accès aux données sensibles », déclare Darren James, chef de produit chez Specops Software.

    Les acteurs de la menace utiliseront des mots de passe courants, probables et même violés pour les comparer systématiquement à la messagerie électronique d'un utilisateur afin d'accéder à un compte donné dans le cadre d'une attaque par force brute. Lors de la violation de données de Nvidia en 2022, au cours de laquelle des milliers de mots de passe d'employés ont été divulgués, de nombreux employés avaient utilisé des mots de passe tels que « Nvidia », « qwerty » et « nvidia3d », offrant ainsi aux pirates une voie d'accès facile au réseau.

    « L'édition 2023 du rapport sur les mots de passe faibles réaffirme les défis permanents que représente la sécurisation du maillon le plus faible de l'environnement informatique de l'entreprise. Pour rester à la hauteur des attaques actuelles, toutes les entreprises devraient mettre en place des politiques de mots de passe strictes, y compris des dictionnaires personnalisés liés à l'organisation », ajoute James.

    Source : Specops Software

    Et vous ?

    Que pensez-vous des résultats de cette étude ? Les trouvez-vous pertinents ?

    Voir aussi :

    Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

    GitHub n'accepte plus les mots de passe pour l'authentification Git, les clefs SSH, OAut, jeton d'installation de GitHub App, ou une clef de sécurité matérielle, telle que YubiKey sont désormais exigé

    Les responsables informatiques sont convaincus que les mots de passe ne sont plus capables de protéger les données et réduisent également le taux de productivité moyen d'une organisation

    Cybersécurité : 66 statistiques sur les mots de passe qui vont changer vos habitudes en ligne par Panda Security
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Futur Membre du Club
    Femme Profil pro
    Consultant informatique
    Inscrit en
    Mars 2023
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 25
    Localisation : France, Pas de Calais (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : Conseil

    Informations forums :
    Inscription : Mars 2023
    Messages : 5
    Points : 7
    Points
    7
    Par défaut
    [I]"83 % des mots de passe compromis satisfont aux exigences de longueur et de complexité des normes de conformité en matière de cybersécurité, telles que NIST, PCI, ICO pour RGPD, HITRUST pour HIPAA et Cyber Essentials pour NCSC."

    Pas vraiment si on entre dans le détail de l'étude, en fait c'est 83% qui répondent aux exigences NCSC et finalement que 43% aux exigences ICO/GDPR.
    A savoir que les exigences NCSC : 8 caractères, pas de complexité particulière et un changement du mot de passe en cas de suspicion de compromission, ce n'est pas l'diéal.
    Bon bref, a priori ICO/GDPR c'est pas la fête du slip, mais 40% en moins c'est pas négligeable non plus hein!

    Source (https://specopssoft.com/blog/83-perc...-requirements/) :
    Nom : Infographic-on-Compliant-But-Compromised-Password-Data-01-1024x853.jpg
Affichages : 799
Taille : 121,8 Ko


    Je trouve en revanche la partie 4 de l'étude intéressante, puisqu'elle parle de l'inspiration puisée dans les événements mondiaux ou les centres d'intéret pour créer des mots de passe et donc de l'utilisation de ces informations par les vilains méchants hackers. C'est un point qui permet d'appuyer avec l'exemple concret du mondial de foot, qu'utiliser le nom d'un joueur de foot que tout le monde connait n'est pas l'idée du siècle pour avoir un mot de passe stylé, beau gosse, tkt. Donc un point d'inspiration pour de la sensiblisation à la cybersécurité.

    CCL : 8 carractères je ne pense pas que ce soit assez, c'est bien d'ajouter des critères de complexité (min,maj,carractère spécial/chiffre), qu'on peut tout simplement justifier à l'aide du visuelle d'une étude que je trouve particulièrement parlant pour les utilisateurs (qui se disent, ah punaise mon mdp en fait c'est du brun en le lisant). (https://www.hivesystems.io/blog/are-...s-in-the-green) :
    Nom : bruteforpass2022.png
Affichages : 808
Taille : 119,8 Ko

    Enfin je préconise d'utiliser une passphrase (facilement retenue, longue de 4-3 mots, avec une cohérence difficile à deviner) et bien évidement un gestionnaire de mot de passe (et pas que dans le pro) pour éviter d'utiliser 20 fois le même mot de passe (même à 4 carractères prêt, ca pue), pour aussi éviter les oublis, éviter d'avoir la facilité de les donner à nimportequi (surtout quand on à 13 ans, non ma belle on ne donne pas ses accès snap à sa meilleure copine, même pour entretenir les flames) et pleins d'autres raisons.

  3. #3
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    « L'édition 2023 du rapport sur les mots de passe faibles réaffirme les défis permanents que représente la sécurisation du maillon le plus faible de l'environnement informatique de l'entreprise. Pour rester à la hauteur des attaques actuelles, toutes les entreprises devraient mettre en place des politiques de mots de passe strictes, y compris des dictionnaires personnalisés liés à l'organisation », ajoute James.
    Le maillon le plus faible de l'environnement reste l'être humain.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  4. #4
    Membre expert
    Profil pro
    programmeur du dimanche
    Inscrit en
    Novembre 2003
    Messages
    777
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : programmeur du dimanche
    Secteur : Santé

    Informations forums :
    Inscription : Novembre 2003
    Messages : 777
    Points : 3 339
    Points
    3 339
    Par défaut
    Que pensez-vous des résultats de cette étude ?
    Qu'une grande portion des accès compromis avaient des mots de passe très solides. Donc, il faut arrêter de tout miser sur la complexité des passes.

    Citation Envoyé par Lafilousse Voir le message
    ...
    Le PIN des CB utilise seulement 4 chiffres depuis des décennies. C'est contraire à toutes les normes de complexité des mots de passe, et pourtant ça marche. Cherchez l'erreur...

  5. #5
    Membre chevronné

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    Juin 2002
    Messages
    598
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2002
    Messages : 598
    Points : 2 016
    Points
    2 016
    Par défaut
    Citation Envoyé par Fagus Voir le message
    Le PIN des CB utilise seulement 4 chiffres depuis des décennies. C'est contraire à toutes les normes de complexité des mots de passe, et pourtant ça marche. Cherchez l'erreur...
    Je suis bien d'accord. Si un système subit 3 semaines (ou même 3 minutes) d'attaques par force brute sans contre mesures (comme black-lister l'ip plusieurs heures) et sans envoyer aucune notification à qui que ce soit, c'est que l'erreur n'est pas seulement celle de l'utilisateur final.

    Lorsque que j'ai eu ma première VM Windows chez OVH, 30% du CPU était bouffé par la réponse aux attaques par force brute.
    Cela ne passe pas inaperçu (même pour le total néophyte que j'étais à l'époque).
    --
    vanquish

Discussions similaires

  1. Réponses: 8
    Dernier message: 05/02/2022, 13h19
  2. Réponses: 6
    Dernier message: 19/04/2019, 19h36
  3. Réponses: 0
    Dernier message: 29/06/2018, 13h11
  4. Réponses: 5
    Dernier message: 27/05/2015, 11h24
  5. Réponses: 31
    Dernier message: 09/08/2014, 19h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo