Si vous êtes vigilant quant à la sécurité en ligne, vous avez sans aucun doute un mot de passe différent et compliqué pour chaque ressource en ligne protégée que vous utilisez. De plus, parce que vous êtes vigilant, vous pourriez parfois avoir du mal à vous souvenir des mots de passe. Mais mots de passe faibles ne résistera pas aux problèmes de sécurité des pirates.
Les mots de passe sont pénibles, mais les mots de passe forts sont également un moyen de défense nécessaire contre les pirates qui ne reculeront devant rien pour accéder à vos comptes. Cela vaut la peine de consacrer du temps et des efforts pour garder les pirates hors de l’équilibre avec des mots de passe intelligents et extrêmement forts dont (espérons-le) vous vous souviendrez encore.
C’est pourquoi, alors que célèbre la Journée mondiale du mot de passe le 5 mai 2022, nous partageons les meilleures pratiques en matière de sécurité des mots de passe, les mots de passe courants que vous ne devriez jamais utiliser, les erreurs à éviter, les moyens par lesquels les pirates obtiennent des mots de passe et la seule chose que tout le monde veut savoir. : comment créer un mot de passe fort.
10 meilleures pratiques de sécurité des mots de passe en 2022
Voici les meilleures pratiques de sécurité pour créer un mot de passe fort en 2022 :
1. Mots de passe uniques pour chaque compte
Utilisez différents mots de passe pour différents comptes, donc si l’un est compromis, les autres ne le sont pas. Cela évitera les types d’attaques telles que les attaques de bourrage d’informations d’identification, où les pirates utilisent des informations d’identification volées sur d’autres plates-formes courantes dans l’espoir d’entrer.
2. Caractères et symboles au lieu de lettres
Phrases utilisant des symboles comme un smiley « 🙂 » au lieu d’utiliser le mot heureux, ou en remplaçant le mot « à » par le chiffre « 2 ». L’utilisation de caractères et de symboles à la place des lettres peut rendre votre mot de passe plus difficile à deviner pour les pirates ou les techniques d’attaque par force brute.
3. Essayez les phrases secrètes
L’une des meilleures pratiques de sécurité des mots de passe les plus importantes consiste à utiliser des phrases secrètes avec des mots qui ne vont normalement pas ensemble au lieu de mots de passe à longs caractères facilement oubliables. Des mots de passe comme « chiot avion mangeant de la banane » sont plus faciles à retenir et moins susceptibles d’être piratés que « chiot courant dans la cour ». Utilisez au moins quatre mots dans le cadre de votre phrase secrète.
4. Au moins 12 caractères de longueur
Pour une meilleure sécurité du mot de passe, nos meilleures pratiques recommandent d’utiliser au moins douze caractères interchangeables en minuscules, majuscules, symboles et chiffres dans votre mot de passe, que vous utilisiez ou non une phrase secrète. La longueur du mot de passe est plus importante pour la sécurité que l’utilisation de chiffres, de caractères ou de symboles seuls. La longueur du mot de passe est un indicateur avancé du temps qu’il faut pour qu’un mot de passe soit déchiffré par une attaque par force brute ou un autre algorithme de piratage de mot de passe.
5. Analyser la force du mot de passe
Vérifiez toujours votre Fiabilité du mot de passe. La plupart des sites permettent à un analyseur de mot de passe de communiquer la force ou la faiblesse de votre mot de passe. Faites attention aux résultats de l’analyseur et modifiez votre mot de passe en conséquence pour le rendre plus fort.
Vous souhaitez savoir comment créer un mot de passe fort ? Nexcess offre une Générateur de mot de passe outil qui vous permet de générer des mots de passe compliqués, de générer des phrases secrètes ou même de vérifier la force de vos mots de passe existants facilement et en toute sécurité.
6. Changer le mot de passe tous les trimestres
Les mots de passe peuvent toujours être devinés ou déchiffrés, avec suffisamment de temps. C’est pourquoi vous devez changer votre mot de passe tous les 60 à 90 jours sur les comptes de niveau utilisateur. Cela garantit que les pirates utilisant l’ingénierie sociale, la force brute et les attaques de bourrage d’informations d’identification ne peuvent pas utiliser vos anciens mots de passe pour accéder à vos systèmes ou à vos données.
7. Activer l’authentification à deux facteurs
Utilisez l’authentification à deux facteurs (2FA), également connue sous le nom d’authentification multifacteur. Cela utilise une méthode d’authentification basée sur du texte ou sur une application pour vérifier votre identité avant l’accès. Même si un pirate obtient votre mot de passe d’une manière ou d’une autre, il ne pourra pas non plus accéder à vos systèmes sans avoir accès à votre téléphone.
8. Utilisez un gestionnaire de mots de passe
Et enfin, investissez dans un gestionnaire de mots de passe. Les gestionnaires de mots de passe utilisent plusieurs formes de cryptage pour garantir que vos mots de passe sont encore plus difficiles à déchiffrer et vous permettent de n’avoir à vous souvenir que d’un seul mot de passe. Les phrases de passe sont parfaites pour être utilisées comme mot de passe principal de votre gestionnaire de mots de passe, et vous pouvez ensuite utiliser des mots de passe extrêmement difficiles pour vos autres comptes et systèmes de niveau utilisateur.
9. Vérifiez votre nom d’utilisateur et votre mot de passe contre la violation de données
Une autre bonne pratique en matière de sécurité des mots de passe consiste à utiliser un outil de sécurité tel que Ai-je été pwned pour vérifier et voir si vos informations d’identification ont été incluses dans des violations de données récentes à l’échelle mondiale. Cela vous permet de prendre des décisions éclairées sur les mots de passe qui doivent être modifiés immédiatement.
10. N’utilisez jamais d’informations personnelles dans un mot de passe
N’utilisez jamais votre prénom, votre nom, votre âge, votre date de naissance, votre numéro de téléphone, votre adresse, votre compte bancaire ou toute autre information personnelle sensible dans le cadre de votre mot de passe. N’utilisez même pas le nom de votre chien ou votre lieu de voyage préféré. Cela facilite le travail des attaquants d’ingénierie sociale ; la plupart de ces informations sont disponibles sur votre compte Facebook, qui est une information publique.
Quels sont les mots de passe les plus courants ?
Les plus couramment utilisés et pire mot de passe en 2021 était « 123456 ». Parmi les autres mots de passe courants, citons « 123456789 », « qwerty » ou même « mot de passe ». Et ne pensez pas une seule minute que password1 est bien meilleur.
Quiconque utilise l’un de ces mots de passe ne demande qu’à être piraté. Les pirates sont partout et recherchent constamment des vulnérabilités de mot de passe à attaquer.
Quelles erreurs de mot de passe devriez-vous éviter ?
Pour protéger vos mots de passe, voici huit erreurs de mot de passe courantes à éviter :
- Combinaisons de clavier consécutives, par exemple, « zxcvb » ou « qwerty ».
- Phrases d’argot ou mots épelés à l’envers.
- Prénom, nom de famille ou noms de votre conjoint ou de vos enfants.
- Aucune information personnelle, comme votre date de naissance ou votre âge.
- Ne recyclez jamais les anciens mots de passe, utilisez les mots de passe une seule fois.
- N’utilisez pas le même mot de passe pour chaque compte que vous possédez.
- Ne laissez personne vous regarder entrer votre mot de passe.
- Déconnectez-vous toujours de votre compte si vous laissez votre ordinateur à proximité ou si vous êtes sur un réseau public.
Ce sont tous d’excellents conseils utiles pour vous éviter d’être piraté, ce qui peut souvent conduire à une tournure des événements encore pire, comme le vol d’identité ou le vol/la perte de données.
Quels moyens les pirates utilisent-ils pour pirater ou obtenir des mots de passe ?
Attaques par force brute
Les attaques par force brute se produisent lorsque les pirates tentent de maîtriser vos défenses, en essayant de combiner des noms d’utilisateur et des mots de passe avec un logiciel qui recombine des mots du dictionnaire anglais avec des milliers de variantes pour tenter d’accéder à votre site Web.
Alors que WordPress est le CMS le plus populaire, et donc le plus ciblé pour les attaques par force brute, d’autres plates-formes CMS et systèmes de connexion sont également vulnérables aux attaques.
Évitez « administrateur »
Évitez le nom « admin » par défaut pour WordPress et les autres systèmes de connexion. Les pirates essaieront toujours d’utiliser « admin ».
N’utilisez pas non plus de noms communs ou même le nom de votre site Web comme nom d’utilisateur. Aussi tentant qu’il soit de penser qu’un pirate informatique ne pourra pas épeler votre nom de famille difficile, il peut toujours le couper et le coller à partir d’une autre source.
Ingénierie sociale
L’ingénierie sociale est une tactique malveillante que les pirates utilisent pour manipuler leurs cibles afin de divulguer des informations sensibles et confidentielles. L’ingénierie sociale peut se produire sur de nombreuses plateformes différentes, y compris le courrier électronique, les médias sociaux et même le téléphone. L’ingénierie sociale, lorsqu’elle est associée au spear phishing, peut être extrêmement efficace pour les cibles imprudentes qui ne sont pas à l’affût.
Le but des attaques d’ingénierie sociale est d’obtenir des informations confidentielles qui pourraient être utilisées pour accéder aux systèmes, voler des données ou voler votre identité.
Tentatives de connexion illimitées
Les connexions au site Web peuvent être configurées pour avoir un nombre illimité ou défini de tentatives de connexion. Cela ne fait jamais de mal de limiter le nombre de tentatives de connexion que vous pouvez effectuer pour accéder à votre site. Non seulement cela éliminera la menace d’attaques par force brute, mais cela empêchera les pirates de tenter d’accéder à leur site via la saisie manuelle d’un mot de passe à partir d’attaques d’ingénierie sociale.
Si vous utilisez WordPress, vous pouvez télécharger un plugin pour le faire pour vous, ou même des adresses IP spécifiques à la liste blanche/noire pour l’accès/le refus d’accès. De cette façon, vous pouvez être sûr que les utilisateurs légitimes peuvent accéder à votre site, contrairement aux pirates malveillants.
Comment célébrer la Journée mondiale du mot de passe
Donc, toutes ces discussions sur les meilleures pratiques en matière de sécurité des mots de passe sont formidables et grandioses, dites-vous, mais comment célébrez-vous la Journée mondiale du mot de passe ?
Commencez par vérifier les mots de passe de votre compte les plus utilisés :
- Ces mots de passe répondent-ils aux exigences minimales contre un vérificateur de mot de passe pour la force ? Si non, change les maintenant.
- Ces mots de passe ont-ils été inclus dans une violation de données ? Si tel est le cas, considérez les ramifications et si d’autres comptes sont à risque.
- Ces mots de passe sont-ils utilisés sur d’autres comptes de niveau utilisateur ? Certains de ces comptes sont-ils associés à des informations bancaires ou à d’autres informations sensibles ? Le cas échéant, changez tous ces mots de passe dès que possible.
- Ces mots de passe ont-ils été partagés avec quelqu’un d’autre, en interne ou en externe ? Le cas échéant, changer les mots de passe maintenant.
- Utilisez-vous 2FA ou un gestionnaire de mots de passe ? Si ce n’est pas le cas, commencez par demander à votre responsable informatique si l’organisation dispose d’un outil de mot de passe recommandé.
Prenez le temps de répondre à ces questions et vous serez sur la bonne voie pour mettre en œuvre les meilleures pratiques de sécurité des mots de passe.
Prenez au sérieux les meilleures pratiques de sécurité des mots de passe
Les meilleures pratiques de sécurité des mots de passe ci-dessus vous aideront à sécuriser davantage votre site. Certes, une protection complète par mot de passe n’est pas une tâche rapide, mais cela vaut la peine de consacrer du temps et des efforts pour éloigner les pirates de leur jeu tout en protégeant votre site et les données de vos clients contre le vol.