Discussion :

[Nancy Rey]

Les mots de passe faibles permettent encore aux pirates de pénétrer dans les réseaux,
83 % des mots de passe compromis satisfont aux exigences des normes de conformité en matière de cybersécurité

Une nouvelle étude de Specops Software révèle que 88 % des mots de passe utilisés dans les attaques réussies sont composés de 12 caractères ou moins, le plus courant ne comportant que huit caractères (24 %). L'étude, réalisée en grande partie à partir de l'analyse de 800 millions de mots de passe piratés, révèle que les termes de base les plus couramment utilisés dans les mots de passe sont tristement familiers : « password », « admin », « welcome » et « p@ssw0rd ».

Les mots de passe ne contenant que des lettres minuscules sont la combinaison de caractères la plus courante, représentant 18,82 % des mots de passe utilisés dans les attaques. Toutefois, l'étude révèle également que 83 % des mots de passe compromis satisfont aux exigences de longueur et de complexité des normes de conformité en matière de cybersécurité, telles que NIST, PCI, ICO pour RGPD, HITRUST pour HIPAA et Cyber Essentials pour NCSC.

« Cela montre que même si les organisations font des efforts concertés pour suivre les meilleures pratiques en matière de mots de passe et les normes de l'industrie, il faut faire plus pour s'assurer que les mots de passe sont forts et uniques. Avec la sophistication des attaques modernes par mot de passe, des mesures de sécurité supplémentaires sont toujours nécessaires pour protéger l'accès aux données sensibles », déclare Darren James, chef de produit chez Specops Software.

Les acteurs de la menace utiliseront des mots de passe courants, probables et même violés pour les comparer systématiquement à la messagerie électronique d'un utilisateur afin d'accéder à un compte donné dans le cadre d'une attaque par force brute. Lors de la violation de données de Nvidia en 2022, au cours de laquelle des milliers de mots de passe d'employés ont été divulgués, de nombreux employés avaient utilisé des mots de passe tels que « Nvidia », « qwerty » et « nvidia3d », offrant ainsi aux pirates une voie d'accès facile au réseau.

« L'édition 2023 du rapport sur les mots de passe faibles réaffirme les défis permanents que représente la sécurisation du maillon le plus faible de l'environnement informatique de l'entreprise. Pour rester à la hauteur des attaques actuelles, toutes les entreprises devraient mettre en place des politiques de mots de passe strictes, y compris des dictionnaires personnalisés liés à l'organisation », ajoute James.

Source : Specops Software

Et vous ?

Que pensez-vous des résultats de cette étude ? Les trouvez-vous pertinents ?

Voir aussi :

Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

GitHub n'accepte plus les mots de passe pour l'authentification Git, les clefs SSH, OAut, jeton d'installation de GitHub App, ou une clef de sécurité matérielle, telle que YubiKey sont désormais exigé

Les responsables informatiques sont convaincus que les mots de passe ne sont plus capables de protéger les données et réduisent également le taux de productivité moyen d'une organisation

Cybersécurité : 66 statistiques sur les mots de passe qui vont changer vos habitudes en ligne par Panda Security

[Lafilousse]

[I]"83 % des mots de passe compromis satisfont aux exigences de longueur et de complexité des normes de conformité en matière de cybersécurité, telles que NIST, PCI, ICO pour RGPD, HITRUST pour HIPAA et Cyber Essentials pour NCSC."

Pas vraiment si on entre dans le détail de l'étude, en fait c'est 83% qui répondent aux exigences NCSC et finalement que 43% aux exigences ICO/GDPR.
A savoir que les exigences NCSC : 8 caractères, pas de complexité particulière et un changement du mot de passe en cas de suspicion de compromission, ce n'est pas l'diéal.
Bon bref, a priori ICO/GDPR c'est pas la fête du slip, mais 40% en moins c'est pas négligeable non plus hein!

Source (https://specopssoft.com/blog/83-perc...-requirements/) :



Je trouve en revanche la partie 4 de l'étude intéressante, puisqu'elle parle de l'inspiration puisée dans les événements mondiaux ou les centres d'intéret pour créer des mots de passe et donc de l'utilisation de ces informations par les vilains méchants hackers. C'est un point qui permet d'appuyer avec l'exemple concret du mondial de foot, qu'utiliser le nom d'un joueur de foot que tout le monde connait n'est pas l'idée du siècle pour avoir un mot de passe stylé, beau gosse, tkt. Donc un point d'inspiration pour de la sensiblisation à la cybersécurité.

CCL : 8 carractères je ne pense pas que ce soit assez, c'est bien d'ajouter des critères de complexité (min,maj,carractère spécial/chiffre), qu'on peut tout simplement justifier à l'aide du visuelle d'une étude que je trouve particulièrement parlant pour les utilisateurs (qui se disent, ah punaise mon mdp en fait c'est du brun en le lisant). (https://www.hivesystems.io/blog/are-...s-in-the-green) :


Enfin je préconise d'utiliser une passphrase (facilement retenue, longue de 4-3 mots, avec une cohérence difficile à deviner) et bien évidement un gestionnaire de mot de passe (et pas que dans le pro) pour éviter d'utiliser 20 fois le même mot de passe (même à 4 carractères prêt, ca pue), pour aussi éviter les oublis, éviter d'avoir la facilité de les donner à nimportequi (surtout quand on à 13 ans, non ma belle on ne donne pas ses accès snap à sa meilleure copine, même pour entretenir les flames) et pleins d'autres raisons.

[marsupial]

« L'édition 2023 du rapport sur les mots de passe faibles réaffirme les défis permanents que représente la sécurisation du maillon le plus faible de l'environnement informatique de l'entreprise. Pour rester à la hauteur des attaques actuelles, toutes les entreprises devraient mettre en place des politiques de mots de passe strictes, y compris des dictionnaires personnalisés liés à l'organisation », ajoute James.

Le maillon le plus faible de l'environnement reste l'être humain.

[Fagus]

Que pensez-vous des résultats de cette étude ?

Qu'une grande portion des accès compromis avaient des mots de passe très solides. Donc, il faut arrêter de tout miser sur la complexité des passes.

...

Le PIN des CB utilise seulement 4 chiffres depuis des décennies. C'est contraire à toutes les normes de complexité des mots de passe, et pourtant ça marche. Cherchez l'erreur...

[vanquish]

Le PIN des CB utilise seulement 4 chiffres depuis des décennies. C'est contraire à toutes les normes de complexité des mots de passe, et pourtant ça marche. Cherchez l'erreur...

Je suis bien d'accord. Si un système subit 3 semaines (ou même 3 minutes) d'attaques par force brute sans contre mesures (comme black-lister l'ip plusieurs heures) et sans envoyer aucune notification à qui que ce soit, c'est que l'erreur n'est pas seulement celle de l'utilisateur final.

Lorsque que j'ai eu ma première VM Windows chez OVH, 30% du CPU était bouffé par la réponse aux attaques par force brute.
Cela ne passe pas inaperçu (même pour le total néophyte que j'étais à l'époque).