Discussion :

[Sandra Coret]

Les responsables informatiques sont convaincus que les mots de passe ne sont plus capables de protéger les données, et réduisent également le taux de productivité moyen d'une organisation

Près de 84 % des responsables informatiques estiment que les codes de sécurité sont inefficaces lorsqu'il s'agit de sécuriser des informations. Dans une enquête récente menée par Ping Identity, une société de logiciels basée aux États-Unis, et Yubico, l'enquête portait sur de grandes entreprises basées aux États-Unis d'Amérique, en Australie et en Europe.

Selon les experts en informatique, les mots de passe posent non seulement des risques potentiels pour la sécurité, mais ils réduisent également le taux de productivité moyen d'une organisation. Il a été constaté qu'un travailleur moyen utilise son mot de passe près de douze fois par jour, tandis que 25 % des employés utilisent leur code d'accès plus de vingt fois par jour. D'autres recherches ont montré qu'en moyenne, près de 33 % des demandes d'aide reçues sont liées aux mots de passe et à la connexion.

En conséquence, les responsables concernés ont constaté une augmentation de 30 % de ces incidents de sécurité. Si ces entreprises utilisent une option sans mot de passe, elles peuvent facilement sécuriser près de 28 minutes du temps de leurs employés, puisqu'ils ne passeront pas une minute à utiliser des codes d'accès difficiles pour se connecter.

Toutefois, les spécialistes en informatique s'inquiètent de la création de codes de sécurité par les utilisateurs eux-mêmes. Cinquante pour cent des spécialistes estiment que les codes créés par les utilisateurs eux-mêmes ne sont pas assez solides, et 91 % des participants à l'enquête craignent que leurs codes ne soient dérobés.

Au vu des cybermenaces qui ne cessent d'évoluer, il semble que les mots de passe ne suffisent plus pour sécuriser les informations. Afin d'assurer une protection maximale, il convient d'explorer de nouvelles voies.

Interrogés sur les nouvelles méthodes de réduction des codes de sécurité, près de 93 % des spécialistes des technologies de l'information ont déclaré que leur entreprise envisageait d'adopter de nouveaux changements, 65 % étaient presque prêts à accepter le changement et 19 % avaient des plans en place.

On s'attend à ce que la méthode d'authentification sans code de sécurité permette aux organisations de faire des économies. Elles n'auront pas à payer pour la sécurité ; moins de support sera nécessaire ; et une expérience plus conviviale sera créée. Non seulement les employés, mais aussi les clients n'auront plus à se souvenir de leurs mots de passe complexes pour se connecter à leurs profils respectifs.

Source : Ping Identity

Et vous ?

Trouvez-vous cette étude pertinente ?
Quel est votre avis sur la connexion sans mot de passe ?

Voir aussi :

Les connexions sans mot de passe pourraient arriver plus tôt que prévu, 84 % des professionnels de l'informatique estimant que c'est un objectif qu'ils doivent absolument atteindre

Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ? La FIDO Alliance tente de rendre les mots de passe obsolètes

WebAuthn : le W3C et l'Alliance FIDO finalisent la norme pour les connexions sans mot de passe, et appellent les sites et entreprises à l'adopter

90 % des internautes craignent que leurs mots de passe soient piratés - comment les utiliser en toute sécurité, tant pour les entreprises que pour les particuliers, d'après Ping Identity

[GLDavid]

Bonjour

Ping Identity... J'ai eu à utiliser leur solution de connexion pour une presta chez une big pharm. C'est un temps fou perdu! Déjà, on nous demande toujours les mots de passe ! Donc, c'est bien beau de nous faire dire que les mots de passe c'est obsolète mais quand on propose juste des nombres aléatoires et uniques à rentrer en plus des mots de passe, j'appelle pas ça un bénéfice. Bref, ces gens font leur pub (pour un produit que je recommande pas tant leur procédure d'authentification est effroyablement longue et requiert des installations de logiciels sur tous les supports que vous utilisez).
Alors, quoi pour remplacer les mots de passe? La reconnaissance faciale, digitale ou de l'oeil? Je n'aimerais pas qu'un serveur stocke mes données biométrique (remarquez, ça existe déjà). Mon numéro de sécurité sociale? et pourquoi pas mon ADN?
Non, pour moi un mot de passe, c'est comme votre code de carte bancaire. A vous de le retenir sinon tant pis pour vous.

@++

[JPLAROCHE]

#GLDavid
tout à fait d'accords et même plus.

[JPLAROCHE]

Bonjour

Ping Identity... J'ai eu à utiliser leur solution de connexion pour une presta chez une big pharm. C'est un temps fou perdu! Déjà, on nous demande toujours les mots de passe ! Donc, c'est bien beau de nous faire dire que les mots de passe c'est obsolète mais quand on propose juste des nombres aléatoires et uniques à rentrer en plus des mots de passe, j'appelle pas ça un bénéfice. Bref, c'est gens font leur pub (pour un produit que je recommande pas tant leur procédure d'authentification est effroyablement longue et requiert des installations de logiciels sur tous les supports que vous utilisez).
Alors, quoi pour remplacer les mots de passe? La reconnaissance faciale, digitale ou de l'oeil? Je n'aimerais pas qu'un serveur stocke mes données biométrique (remarquez, ça existe déjà). Mon numéro de sécurité sociale? et pourquoi pas mon ADN?
Non, pour moi un mot de passe, c'est comme votre code de carte bancaire. A vous de le retenir sinon tant pis pour vous.

@++

tout à fait d'accords et même plus.

[tabouret]

Les responsables informatiques (lesquels d'ailleurs) vont à l'encontre des recommandations de l'ANSSI et de toutes les agences de sécurité dans le monde.

Le but n'est pas de remplacer les mots de passe, le but est d'instaurer le MFA.

Donc le mot de passe reste requis (mais non suffisant et avec bien sur une politique de rotation des mots de passe), c'est simplement une deuxième méthode d'authentification qu'il faut implémenter.

Petit tour d'horizon:
Reconnaissance faciale/digitale? -> beaucoup de personnes ne voudront pas voir stocker leurs données biométriques quelque part.
Téléphone portable? -> Nécessite un investissement vu que toutes les personnes devront être équipées d'un tel pro.
Certificat/clef publique? -> Nécessite l'achat de yubikeys ou autre concernant la partie certificat.

En bref, supprimer les mots de passe n'a aucun sens.

[walfrat]

J'ai été dans une boîte ou il fallait que tu mette un certificat SSL client, (déténu sur une carte), avec un petit code PIN.

Alors techniquement ça peut être galère a faire fonctionner, mais au moins c'est efficace.

Au pire tu pourrais doubler l'authentification sur les applications sensible qui demanderait le PIN et un mdp dédié.

[The F0x]

une politique de rotation des mots de passe

Sans doute la meilleure manière d'affaiblir un mot de passe car les utilisateur vont trouver une manière de faire une rotation "mécanique" donc rendant les prochains mots de passe prédictibles. Plusieurs chercheurs en sécurités sont d'accord pour dire que d'avoir recommandé la rotation été une erreur.

Pour les histoire de stockage des données biométrique en général pour des besoins d'authentifications elles ne sont pas stockées, on va plutôt stocker un hash de celles-ci, comme on le fait déjà pour les mots de passe.

Chez un de mes clients, ils utilisent une authentification par certificat sur smartcard et pour déverrouiller le certificate store de la smart card il faut utiliser une empreinte digitale, maintenant ils pensent le coupler avec une application d’autorisation sur smartphone ou l'utilisateur pourra choisir son mode d'authentification préféré. Nous aurons alors Certificat (accès ouvert par Bio) + Authorisation sur un device séparé (avec Authentification au choix).

[tabouret]

Sans doute la meilleure manière d'affaiblir un mot de passe car les utilisateur vont trouver une manière de faire une rotation "mécanique" donc rendant les prochains mots de passe prédictibles. Plusieurs chercheurs en sécurités sont d'accord pour dire que d'avoir recommandé la rotation été une erreur.

Pour les histoire de stockage des données biométrique en général pour des besoins d'authentifications elles ne sont pas stockées, on va plutôt stocker un hash de celles-ci, comme on le fait déjà pour les mots de passe.

Chez un de mes clients, ils utilisent une authentification par certificat sur smartcard et pour déverrouiller le certificate store de la smart card il faut utiliser une empreinte digitale, maintenant ils pensent le coupler avec une application d’autorisation sur smartphone ou l'utilisateur pourra choisir son mode d'authentification préféré. Nous aurons alors Certificat (accès ouvert par Bio) + Authorisation sur un device séparé (avec Authentification au choix).

Tu préfères mettre un mot de passe à durée non limité? ce serait une grave erreur de sécurité. Une politique de rotation de mot de passe (même si oui le prochain est hautement prévisible vis à vis du premier) améliore tout de même la sécurité, je ne vois pas quels chercheurs peuvent dire que c'est une erreur, ça va à l'encontre des recommandations de l'ANSSI, du CIS, du NIST...
Si tu as la source d'information je suis preneur.

En effet c'est un stockage du hash, mais le problème c'est que ça change queudal pour le français moyen (qui je te le rappelle flippe à tord sur le stockage de ses données la plupart du temps) et qui donc va croire qu'on stocke tout ce qui le définit dans un disque dur. Dé mémoire 20/30% de ma boite n'en voulait pas sous prétexte "qu'ils ne voulaient pas voir stocker leurs données biométriques blablabla".

Une smartcard déverrouillé par empreinte digitale, c'est joli c'est clair et bien mieux que mot de passe/ce que tu veux.

[Steinvikel]

Dans le secteur de la santé, certains services contraignent les mots de passe entre 6 et 8 caractères (chiffres et lettres uniquement)... vous y croyez !?

Dans les boîtes, le problème majeur n'est pas le mot de passe en lui-même, mais sa gestion par l'employé.
Combien utilisent un gestionnaire de mot de passe ?
Combien sont dans une infrastructure spécifique, les empêchant d'utiliser une app /module tiers permettant de simples auto-complétion, voir des copier/coller ?

En répondant à ces 2 questions on s'aperçoit des éléments suivants :
- la plupart des salariés n'ont pas de gestionnaires de mot de passe
...et une grosse proportion ont une définition flou de ce que c'est, ou de quels vecteurs d'attaque ça les protège
- la plupart des salariés pourraient utiliser l'auto-complétion sans passer par le presse-papier, ou bien le copier/coller sans exposer le mdp à leur voisin
...mais la plupart n'ont pas connaissance de cet atout pratique
- il y a un manque d'accompagnement des salariés pour opérer la transition "mot de passe manuel" vers "gestion logicielle"
...demander d'exécuter une directive ne suffit pas, il faut du temps et des moyens, c'est un problème de dimension sociale, pas technique
- une fois la transition pleinement opérée, les générateurs de mots de passe pourront enfin apporter leur valeur ajoutée ! ...de même que le 2FA souvent amoindrie ou détournée par facilité


La question du mot de passe est souvent présentée de manière stéréotypée. En vérité, c'est comme l'e-mail pour la communication, c'est un vecteur qui était là pour les débuts, et qui n'est certainement pas obsolète, il sert simplement de base avant d'y adjoindre toute la complexité apportant les fonctionnalités désirées.

[ id + mdp ] n'est plus un gage de sécurité absolue depuis très très trèèèèès longtemps, depuis plus de 20 ans ce n'est plus gage de forte sécurité, et aujourd'hui, il est maintenant démocratisé que pour avoir un service /accès avec un niveau de sécurité acceptable, il faut du MFA (à minima 2FA).
Toute la problématique réside dans la question suivante :
- Un acteur malveillant peut s'introduire dans un/des accès du salarié, quelle conjugaison d'accès présente le moins de probabilité de l’occurrence d'un tel évènement ?
...c'est à dire : quels sont les accès les plus fiables >> ce qui peut être différent d'un salarié à l'autre, en fonction de ses habitudes et de ses connaissances.
NB : on pourrait même ajouter >> le contexte justifie-t-il l'usage de MFA ? ...dans bien des situation : non ! (ex : machine test avec mot de passe bidon)

Le "mot de passe" à rapidement évolué pour donner naissance au "certificat" et au "hash", qui ne reste qu'une suite de caractère à fournir au bon moment.
L'évolution suivante à été la parallélisation des canaux de requêtes et de ceux de réponses. --> dans la fenêtre / pop-up / e-mail / SMS / carte à puce / clé USB spécifique / application / capteur biométrique... via la machine ou une autre distante.

La problématique actuelle centrale n'est pas portée sur l'utilité des mots de passe, mais sur leur utilisation : seuls ou combinés, quels canaux privilégier pour quels contextes, quelle hygiène de sécurité adopter dans quel contexte, etc.

Dire qu'il faut un mot de passe différent pour chaque service n'est qu'une information partielle, l'information complète décrie toujours une préconisation contextuelle :
- qui est autorisé à en avoir connaissance
- le type de mot de passe (unique /redondant)
- sa robustesse
- son stockage
- sa fréquence de MAJ (à changer tt les x J ou non)
- quand et comment l'utiliser
- quand et comment le partager
- qui le mdp est-il destiné à protéger
- de quels dangers protège le mdp
- de quels dangers il ne protège pas
...faire de même pour le MFA

Ce que je vient d'évoquer est un gros morceau à traiter pour toutes les entreprises que j'ai côtoyé, même pour des auto-entrepreneurs. Je suis surpris rétrospectivement qu'aucune direction n'ai estimé devoir imposer une mise en oeuvre sur l'ensemble des propos. Certains ont obligé à renouveler les mdp, d'autres à utiliser du 2FA... mais aucuns n'ont imposé l'ensemble de la chaine.

Ca reste pour moi une incompréhension pour un sujet où la cohérence des moyens et la synergie était régulièrement rappelé au client. ^^'

[ViskashaEveillé]

Comme beaucoup je pense que le problème ne vient pas vraiment du mdp mais plutôt de l'utilisateur ou du système.

De toutes manières, plus le système d'authentification est compliqué, (identification multi facteur ou carte à puce) plus il est difficile à implémenter ou à généraliser à l'ensemble des services informatiques si bien qu'on finit par se retrouver avec des services qui contournent le système d'authentification officiel ou mettent en place leur propre système en parallèle pour leur propres applications...

Dans un monde idéal le système d'information devrait être capable de détecter des comportements illicites ou de surveiller l'activité de commandes sensibles. (des terabits de données qui se déplacent dans le réseau depuis une ip spécifique ca doit pourtant se voir...)
Or dans le monde réel (Bienvenue!), les donneurs d'ordre qui demandent le nec plus ultra en terme de sécurité et de protocols sont les premiers à vous demander les moyens de courtcircuiter le système et leur faciliter la vie quand ils ont oublié leur mot de passe ou leur code.

Certes, le système a besoin d'être plus intelligents et plus adaptés à l'Homme mais ce sont les Hommes au final qui design le système.

[Invité]

Bonsoir

Les responsables informatiques sont convaincus que les mots de passe ne sont plus capables de protéger les données, et réduisent également le taux de productivité moyen d'une organisation

Trouvez-vous cette étude pertinente ?

Partiellement. Je dirais surtout la quantité de mots de passes. Rien qu'au boulot nous en avons 40 ou 50 ^^ . Tous notez dans Excel bien évidement

Quel est votre avis sur la connexion sans mot de passe ?

En Belgique par exemple pour acceder à une appli bancaire (ing) on vous oblige à mettre en plus en mdp pour ouvrir votre smartphone. Sinon vous ne pouvez pas utiliser le compte en ligne via gsm.

C'est comme ci votre banquier vous obligeait à mettre une serrure en plus chez vous ... au risque de ne pas pouvoir recevoir vos relevés de compte

Bref on nage en plein délire.