Pourquoi changer régulièrement de mot de passe est la pire politique informatique de nos jours?
J'ai acheté mon premier ordinateur après un été complet de cueillette de fraises / framboises en 1984 ... J,ai payé 1200 $ CAD ...
... Et, en passant, je ne suis pas vieux, je suis "expérimenté" ;-)
Donc, naturellement, j'ai vu ma juste part d'évolution en ce qui concerne les technologies et, plus important encore, la sécurité.
À l'origine, la seule sécurité était d'éteindre l'ordinateur. Mais de nos jours, avec des armées de pirates et de "robots" sur Internet et le fait que certains ransomwares / virus s'activent à chaque fois que vous allumez le PC ... Eh bien, disons simplement que ce n'est plus la «meilleure» façon de sécuriser votre environnement technologique .
Et ces pirates et robots ont plus que du temps et leur nombre pour cracker votre mot de passe, ils ont maintenant des modèles ...
Alors, comment trouvent-ils votre mot de passe de nos jours?
A- Ils savent que la plupart des gens utiliseraient le même mot encore et encore en ajoutant / remplaçant simplement la fin, comme, la date / année ou un caractère spécial ("Ananas20!" Qui deviendra "Ananas21$" dans quelques mois, et c'est loin d'être une "bonne" option de mot de passe ...)
B- Avec toutes les fuites de données sur Internet concernant vos informations et vos mots de passe, les pirates sont désormais en mesure de créer des «profils» d'individus, en croisant les données de plusieurs sources pour créer un modèle qu'ils appliqueront partout sur Internet ou votre serveur pour essayer d'entrer dans vos comptes (cela s'appelle du "Mask Attack": l'utilisation de modèles définis pour essayer de trouver votre nouveau mot de passe).
Quelle est l'importance du problème / risque associé aux attaques au masque?
Eh bien, tous les groupes informatiques sérieux travaillent sans relâche pour identifier et corriger tous ces "Tech2005%AdM1N!!" mot de passe administrateur dans les anciens systèmes et serveurs depuis que les "Marsk Attack" son populaires (environs 1-2 an). Le plus gros problème est qu'ils ne sont pas toujours documentés et que beaucoup de services administratifs sont liés à plusieurs services, donc les changer peut causer beaucoup de perturbations sur un environnement de travail.
Quelle est la solution? Il existe de nombreuses façons que vous pouvez utiliser dans une approche mixte pour renforcer votre sécurité de manière adéquate:
- L'utilisation de 2FA / MFA est la base (mais elle seule ne vous protégerait pas correctement)
- Utilisation des outils de gestion de mots de passe (n'en utilisez pas un pour tout, obtenez-en un pour le bureau et un pour la maison). J'ai personnellement 3 outils de mot de passe distincts (travail, maison, personnel)
- Optez pour des phrases au lieu d'un mot avec des chiffres si un outil de gestion de mots de passe n'est pas une option (JeVeuxDuChocolat4488++), et pas la même phrase partout!
- RSA ou biométrie (ils ont leurs lots de problèmes)
En fin de compte, la meilleure façon de procéder est de parler au spécialiste de la sécurité de votre service informatique ou de votre MSP.
Pour conclure, laissez-moi vous présenter une comédie incroyable de 4 minutes qui résout totalement le problème que nous avons avec les mots de passe (en ANGLAIS ;-) : https://www.youtube.com/watch?v=z_HmDP3lKMI