Discussion :

[Jonathan]

49 % des travailleurs réutilisent le même mot de passe lorsqu'ils sont forcés d'en changer en entreprise
en y apportant seulement une modification mineure

Que ce soit pour nous connecter à nos comptes personnels sur les réseaux sociaux ou à nos comptes professionnels en entreprise, nous nous servons tous de mots de passe. Certains d’entre nous ont parfois la paresse d’utiliser le même mot de passe pour se connecter à tous leurs comptes et ne mesurent pas le risque énorme qu’ils encourent en le faisant. Pour des raisons de sécurité dans certaines entreprises, il est parfois demandé aux employés de modifier leurs mots de passe après une période donnée. Seulement, une étude a révélé que 49 % des employés réutilisent le même mot de passe auquel ils ont juste apporté une modification mineure.

Cette étude qui a duré 2 ans et demi a été réalisée par HYPR qui est la première plate-forme d'authentification conçue pour éliminer les mots de passe et les secrets partagés dans toute l'entreprise. Elle a compilé les données de plus de 500 travailleurs à temps plein aux États-Unis et au Canada pour mieux comprendre comment les individus utilisent, traitent et gèrent leurs mots de passe. Ce travail a été divisé en 2 parties dont la première consistait à comprendre comment les gens utilisent et gèrent les mots de passe sur leurs lieux de travail.

La deuxième partie quant à elle visait à comprendre comment les gens utilisent et gèrent les mots de passe dans leurs vies personnelles comme les achats, les services financiers, les réseaux sociaux, et autres. Les résultats publiés par HYPR sont assez parlants et il y a vraiment de quoi s’inquiéter. Figurez vous que non seulement 72 % des utilisateurs ont admis avoir réutilisé les mêmes mots de passe dans leurs vies personnelles et professionnelles, mais également 49 % ont admis que lorsqu'ils étaient obligés de mettre à jour leurs mots de passe sur leurs lieux de travail, ils réutilisaient le même avec un changement mineur.

Il a également été constaté que plusieurs personnes qui comptaient sur leurs seules mémoires pour se souvenir de leurs mots de passe ont exigé une réinitialisation de celui-ci pour l'avoir oublié. Ce qui fait une proportion de 78 % qui l'ont fait dans leurs vies personnelles au cours des 90 derniers jours, contre 57 % qui l'ont fait dans leurs vies professionnelles pendant la même période.

HYPR s'est aussi rendu compte du fait que la majorité des utilisateurs utilise des listes physiques et numériques pour gérer leurs mots de passe. Concrètement, il est rapporté que 65 % des répondants le font dans leurs vies personnelles contre 58 % qui le font dans leurs vies professionnelles.

Ces résultats ont permis à HYPR d'en arriver à 3 conclusions :

• Les gens ne comptent pas sur la technologie créée pour les aider à gérer leurs mots de passe. HYPR l'explique par le fait que ces derniers ignorent sans doute leur existence ou encore parce qu'ils ne savent pas s'en servir ;
• Les gens ne comptent pas sur la technologie créée pour les aider à gérer leurs mots de passe. HYPR l'explique par le fait que ces derniers ignorent sans doute leur existence ou encore parce qu'ils ne savent pas s'en servir ;
• La majorité des individus s'appuient sur leur propre mémoire pour retenir leurs mots de passe. Ce qui entraîne sans cesse leur réinitialisation à chaque fois qu'ils ne s'en souviennent plus ;
• Les gens comptent toujours sur les moyens traditionnels pour garder les informations importantes.

Le changement de mot de passe après une période donnée est sans doute un bon moyen pour renforcer la sécurité dans une entreprise. Seulement, à moins qu'une potentielle menace ait été détectée, il n'est peut-être pas utile de forcer les utilisateurs à changer leurs mots de passe. Le faire ne changera presque rien puisque l'étude montre que près de la moitié d'entre eux n'apportera qu'une modification mineure au mot de passe déjà utilisé, ce qui n'améliorera pas la sécurité.

Source : HYPR

Et vous ?

Qu’en pensez-vous ?
Pensez-vous qu'il soit judicieux de forcer les utilisateurs à changer de mot de passe automatiquement après une période donnée ?
Comment gérez-vous vos mots de passe personnels et professionnels ?

Voir aussi :

Les mots de passe Windows NTLM à 8 caractères peuvent être piratés en moins de 2,5 heures, selon des chercheurs
Microsoft se lance officiellement dans la lutte contre les changements obligatoires de mots de passe une pratique que l'entreprise estime obsolète
Microsoft supprime les politiques d'expiration de mot de passe des consignes de sécurité de base pour Windows10 v1903 et Windows Server v1903

[Invité]

Qu’en pensez-vous ?

Que le mot de passe n'est pas une bonne solution, c'est démontré depuis des années et qu'aujourd'hui malgré les règles de renforcement il est toujours aussi facile de les contourner/faire sauter sans vraiment de difficulté.
C'est comme les digicodes de bâtiment, en général il y a énormément plus de personnes qui le connaissent que d'habitant présent et ça n'empêche en rien les cambriolages. Et si y'a une porte blindé il suffit de taper à coté pour créer une entrée.

Pensez-vous qu'il soit judicieux de forcer les utilisateurs à changer de mot de passe automatiquement après une période donnée ?

Ça dépend du contexte mais 3/4 du temps c'est l'utilisateur et l'admin qui sont le plus emmerdé.

Comment gérez-vous vos mots de passe personnels et professionnels ?

Ça ne regarde que moi :p

[transgohan]

En même temps je comprends le principe...
J'ai pour ma part 15 mots de passe différents à retenir pour le boulot...
Du coup j'utilise un motif, qui forcément ne change pas beaucoup à chaque changement (tous les deux mois, devoir changer 13 des 15 mots de passe...).

[sevyc64]

C'est simple, il faut un mot de passe avec lettres, minuscules et majuscules, chiffres, signes de ponctuation et autres caractères exotiques. Et ne pas réutiliser un des 6,8, ou aucun des derniers mot de passe utilisé.
Donc par principe, c'est un mot de passe compliqué à retenir.

Donc, dans toutes les boites qui imposent un changement de mot de passe régulier, le schéma est le même, une partie fixe, et une partie qui varie au gré des changements.
Et la partie qui varie est, dans une très très très large majorité, basée sur la date souvent une combinaison du mois et de l'année du dernier changement.

Mais il y a moyen de s'en prévenir. J'ai connu une boite qui, pour éviter cela, fournissait elle-même les nouveaux mot de passe à chaque employé généré aléatoirement tous les 6 mois. Le truc totalement impossible à retenir
Résultat, dans chacun des bureaux, du plus petit employé jusqu'au DG, on pouvait trouvé un post-it, soit sous le clavier, soit sous le tapis de souris, dans contre la paroi du premier tiroir, avec le mot de passe noté dessus.

Par contre seulement 49%, je trouve que c'est faible. J'aurais facilement parié sur un quart de plus.

[Iradrille]

Donc, dans toutes les boites qui imposent un changement de mot de passe régulier, le schéma est le même, une partie fixe, et une partie qui varie au gré des changements.
Et la partie qui varie est, dans une très très très large majorité, basée sur la date souvent une combinaison du mois et de l'année du dernier changement.

Ha marrant, j'avais jamais pensé à utiliser la date pour la partie qui varie, au taff on utilise plus ou moins tous le même pattern : password0001, password0002, password0003, ...
C'est mal, mais changer un mot de passe de 12+ caractères avec minuscules / majuscules / chiffres tous les 3mois c'est bien casse burnes.

Et effectivement 49% ça semble faible, les gens sont plus sérieux que je ne le pensais (ou ils mentent sur les sondages ).

[tanaka59]

Bonjour,

Qu’en pensez-vous ?

L'histoire du gestionnaire de mot de passe me fait bien riee ... Soit on stocke les données dans le gestionnaire de mot de passe qui est une BDD locale sur le PC ( en cas de vol du PC d'un commercial/nomade/informaticien ) il l'a dans l'os ... Si c'est une tour fixe et qu'elle crash idem ... Stocker sur le réseau oublions le ... toutes les X semaines le ménage est fait donc risque de perte .

Puis bon vous connaissez beaucoup de boite qui vont confier leur mot de passe à des boites aux USA , Canada , voir peut être des copies en Chine ? Je dis cela je dis rien, les nouveaux services de Microsoft pour PowerBi passent ... par la Chine, l'Inde et le Vietnam ... J'ai pas vraiment envie que ces pays aillent fouiner dans mes données . donc encore moins une DSI

Après on peut aussi parler du risque de piratage avec des produits genre LastPass qui a subit 2 piratages . L'un en 2015 , l'autre en 2018-2019. Donc ce type de solution qui sauvegardes des clefs/token/mdp en externe je m'en méfie comme la peste et choléra.

Pensez-vous qu'il soit judicieux de forcer les utilisateurs à changer de mot de passe automatiquement après une période donnée ?

Si c'est pour faire changer tous les 3 mois 50 applis même pas en rêve . Après tout dépend du type d'appli ou on fait changer et de la fréquence de changement aussi ... facteur à prendre en compte. Si on me fait changer un mot de passe pour Yammer / Skype / GLPI / Jira ... au lieu de me le faire changer pour mon webmail pro c'est moins gênant.

Comment gérez-vous vos mots de passe personnels et professionnels ?

J'utilise :

De préférences des alias
De préférences des mails "jetable" avec une durée limitée
Je préserve l'adresse mail principale pour les quelques services strictement nécessaires (banque, assurance, impot, telecom ... ) en somme tous les services critiques
1 mot de passe par service
Quand c'est possible 1 mot de passe bien compliqué avec la fonction "j'ai oublié mon mdp" histoire d'avoir des mdp bien aléatoire
Limiter les inscriptions aux services liés au consumérisme (média , comm , loisir, détente, musique, film , conso , politique, débat ... )
Tenir un registre de la ou s'inscrit . Pas noter le mot de passe , mais le nom de l'organisme/commerçant/ site . Savoir ou l'inscrit . Pour se désinscrire quand on le souhaite.

Combien somme nous a avoir un compte sur le forum trucmuche pour y avoir posé une question pour les plantes de la belle mère, ou encore une inscription sur un site étranger pour l'hotel 3* qu'on a vu en Thailand ou à Bali il y a 4 ans ?

Puis bon soyons honnêtes , le fait de noter un mot de passe en clair sur un bloc note/tableur physique/virtuel on l'a tous fait au moins une fois .

Le risque de perte/vol/alteration physique ou virtuel existe, on ne peut pas le nier . Penser que qu'un cambrioleur va voler exprès le carnet rouge petit carreau sur la 3ème rangé du 10 ème bureau du 4ème étage du développeur Java/Python , car vous êtes développeur java et avez noté le mdp "123456" par défaut de l'appli trucmuche . Wé bon

En somme pour minimiser le risque d'attaque virtuelle , c'est limiter les possibilités à l'attaquant de remonter jusqu'à vous via votre adresse mail.

Pour le risque d'attaque ou de vole de BDD chez provider/fai. Le risque existe on connait Orange/Yahoo/T-Mobile/Vodafone ... Après que des attaquants arrivent à accéder à la BDD avec les mails + mdp + accès à tous les services cloud d'opérateurs/fai/provider je pense que la il y a une sacré marge et logistique quand même à avoir.

Sur du Google/Amazon/FaceBook/Yandex/Baibu/OVH et j'en passe je pense que les gouvernements doivent aussi avoir un oeil sur ce qui se passe. pour eviter des piratages de masse.

[Itachiaurion]

Bonjour,

L'histoire du gestionnaire de mot de passe me fait bien riee ... Soit on stocke les données dans le gestionnaire de mot de passe qui est une BDD locale sur le PC ( en cas de vol du PC d'un commercial/nomade/informaticien ) il l'a dans l'os ... Si c'est une tour fixe et qu'elle crash idem ... Stocker sur le réseau oublions le ... toutes les X semaines le ménage est fait donc risque de perte .

Oui parce que toutes les personnes qui utilisent un gestionnaire de mot de passes sont des manches qui ne font jamais de copies (sécurisées j’entends) de la BDD sur un DD externe, une clef USB, un téléphone ou je ne sais quel support de préférence. C'est de la technologie de pointe tout ça les sauvegarde sur support externe . Bien sur le stockage sur des BDD de gestionnaire de mot de passe comporte des risques, mais après c'est comme tout, il suffit de changer un peu ses habitude et avec un peu de bol c'est même meilleur que la plupart des méthodes qu'on peut mettre en place, tant les gestionnaires sont utiles pour généré de façon aléatoire des mots de passes a la force/longueur désiré. Ils minimisent au maximum les traces exploitables pour peu que le(s) logiciel(s) soit solide et la machine a peu près clean. De toute façon s'il y a un keylogger sur la machine peu importe la technique c'est peu ou prou foutu. L'avantage de la BDD offline c'est justement d'évité des piratage type lastpass comme évoqué dans votre message, et avec un logiciel open source qui utilise les meilleur algo de chiffrements, faut pas mal de persévérance pour en venir a bout. J'ai quand même a titre personnelle quelque doute quand au fait de garder les mot de passes aléatoire renvoyé en fonction "j'ai oublié mon mot de passe" quand on a justement des logiciel pour le faire, a la différence qu'on a comme dit au dessus, le choix dans la longueur et la complexité, et que les dit mot de passes sont renvoyé en clair par le mail, niveau sécurité je pense qu'on peut faire mieux (après j'ai peut être mal compris, cela arrive).

Pour le boulot j'essaye d'utiliser des phrases de mot de passes complètes, c'est pas trop trop compliquer a retenir (pas plus qu'un mot de passe complexe a la noix) et pour peu que la phrase soit assez longue c'est très sécurisé. Pour le moment ça fonctionne bien après j'utilise un gestionnaire pour tout ce qui n'est pas mot de passe d'OS c'est bien plus simple a géré par la suite. Ça me rappelle quand j'ai fais une interventions auprès de personnes du 3ème et 4ème ages où je leur conseillais d'utiliser en mot de passe un ou deux vers d'un de leur poème préféré, oui ça peut se retrouver mais pour protéger le compte mail de mamie ça me parait assez solide et simple pour eux a retenir.

[tanaka59]

Bonjour,

J'ai quand même a titre personnelle quelque doute quand au fait de garder les mot de passes aléatoire renvoyé en fonction "j'ai oublié mon mot de passe" quand on a justement des logiciel pour le faire, a la différence qu'on a comme dit au dessus, le choix dans la longueur et la complexité, et que les dit mot de passes sont renvoyé en clair par le mail, niveau sécurité je pense qu'on peut faire mieux (après j'ai peut être mal compris, cela arrive).

J'entends par la qu'a chaque connexion sur la plateforme le mot de passe sera différent. A chaque fois c'est l'utilisateur final qui le change, il utilise "j'ai oublié mon mot de passe" . Exemple concret . Pour celui qui fait ses courses en drive , cela revient à changer toute les semaines le mot de passe de Carrefour Drive ou Auchan Drive ... Cela permet de ne plus s’encombrer l’esprit . Une chaine bien compliqué et longue généré de manière aléatoire ... On est pénard.

Pour le boulot j'essaye d'utiliser des phrases de mot de passes complètes, c'est pas trop trop compliquer a retenir (pas plus qu'un mot de passe complexe a la noix) et pour peu que la phrase soit assez longue c'est très sécurisé. Pour le moment ça fonctionne bien après j'utilise un gestionnaire pour tout ce qui n'est pas mot de passe d'OS c'est bien plus simple a géré par la suite.

Les passphrases sont vraiment pas mal aussi oui ! Très juste . Faut juste pas avoir les code de connexions à la façon Crédit Agricole ou Crédit Mutuelle ou l'on vous demande un mot de passe à 8 chiffres avec nombres placés de manières aléatoire à la connexion Que dire de l'assurance maladie qui est pas mal aussi dans ce registre .

Ça me rappelle quand j'ai fais une interventions auprès de personnes du 3ème et 4ème ages où je leur conseillais d'utiliser en mot de passe un ou deux vers d'un de leur poème préféré, oui ça peut se retrouver mais pour protéger le compte mail de mamie ça me parait assez solide et simple pour eux a retenir.

Molière, fable de la fontaine, Emile Zola , Jules Verne

[walfrat]

J'ai aussi connu les PC avec des authentifications avec badges.

C'est plutôt bien, sauf quand tu dois l'intégrer dans ton site web ou qu'un truc ne marche plus soudainement.

Perso je limite mes inscriptions aux sites Web, surtout ceux qui veulent mon adresse mail en tant qu'identifiant au lieu d'un pseudo...
J'ai quatre différent motifs de mot de passe : un simple, un moins simple et deux autres plus long plus compliqué. J'applique le pattern selon le type de site.
J'évite les gestionnaires de mots de passe, le risque est peut-être moins grand mais l'impact l'est beaucoup plus. Je surveille HaveIBeenPwned, pour le moment je touche du bois je suis pas dessus.


Quant à mes trois mdp qui changent tous les deux mois en entreprise, je ne ferais pas commentaire sur comment je les gère

[BugFactory]

Si le mot de passe est haché correctement, un changement minime aboutit à une valeur très différente en base.
Forcer les gens à changer leur mot de passe régulièrement n'est plus une pratique recommandée, du moins par Microsoft.
C'est peut-être une mauvaise habitude, mais je ne pense pas qu'elle ait beaucoup d'impact sur les entreprises.

Il y a plus efficace et moins casse pied pour améliorer la sécurité.
S'assurer que les standards sont respectés, par exemple que les mots de passe sont hachés.
Mettre un gestionnaire de mots de passe en standard sur tous les postes, former les employés à les utiliser, ou mieux, utiliser du SSO.
Mettre en place une procédure rapide pour récupérer un mot de passe perdu (envoi mail avec lien à usage unique + code par SMS par exemple).
Faire des vérifications élémentaires. Exemple : si l'adresse email de récupération d'un mot de passe est celle à laquelle ce mot de passe donne accès, rejeter poliment la demande.

[Ryu2000]

En même temps vas-y pour te rappeler de ça :
eMs5sF8E4
xvV4N5rD7
j482SNfKj
GG9fYtq75
A6P3xZ3ha
65uxWJRu7
ivD92Ef9M
2ar8rX4RL
9wT34ZfdD
3ek3uMZ3P

Minuscule, majuscule, chiffre, pas de mot présent dans un dictionnaire, à changer à intervalle régulier...
Au final tu l'écris quelque part et c'est pas hyper sécurisé non plus.