Sécurité et confidentialité en ligne

10 oct. 2022

|

9

9

9

Lecteur Min

Quels sont les risques liés aux gestionnaires de mots de passe ?

Dans le nouvel ebook sur la politique de mot de passe, Que devrait être votre politique de mot de passe, KnowBe4 recommande à tous les utilisateurs d'utiliser un gestionnaire de mots de passe pour créer et utiliser des mots de passe parfaitement aléatoires.

Gestionnaire de mots de passe
Gestionnaire de mots de passe
Gestionnaire de mots de passe

Par Roger Grimes, Évangéliste de la défense axée sur les données, KnowBe4

Un mot de passe de 12 caractères ou plus, parfaitement aléatoire, est imperméable à toutes les attaques connues de devinette et de craquage de mots de passe. Un mot de passe créé par un humain doit avoir 20 caractères ou plus pour bénéficier de la même protection. Les humains n'aiment pas créer ou utiliser des mots de passe très longs (et parfois également complexes), donc je recommande d'utiliser un programme de gestion de mots de passe fiable à la place.

Une question courante est de savoir si les gestionnaires de mots de passe valent le risque de les utiliser.

La réponse, à mon avis, est oui. Je crois que l'augmentation des risques qu'une personne encourt en utilisant un gestionnaire de mots de passe est compensée par tous les avantages, ce qui diminue et compense totalement les risques des inconvénients.

Examinons les risques et les avantages de l'utilisation d'un gestionnaire de mots de passe. Ils peuvent être résumés ainsi :

Inconvénients
  • L'utilisateur doit obtenir et installer un gestionnaire de mots de passe

  • L'utilisateur doit apprendre à utiliser le gestionnaire de mots de passe

  • Il peut falloir plus de temps à un utilisateur pour créer ou saisir un mot de passe en utilisant un gestionnaire de mots de passe (mais ce n'est pas toujours vrai)

  • Sujets aux attaques

  • Les gestionnaires de mots de passe ne fonctionnent pas avec tous les programmes ou dispositifs

  • Si l'accès au gestionnaire de mots de passe ne peut être effectué (par exemple, corruption, accès perdu, etc.), l'utilisateur perd l'accès à toutes les informations de connexion contenues d'un coup

  • Si un attaquant compromet le gestionnaire de mots de passe, il peut éventuellement accéder et obtenir tous les mots de passe de l'utilisateur (ainsi que les sites auxquels ils appartiennent) d'un coup

C'est ce dernier problème qui représente le plus grand risque dans l'esprit de la plupart des utilisateurs concernés : le point de défaillance unique.

Avantages
  • Crée et permet l'utilisation de mots de passe parfaitement aléatoires

  • Crée et permet une utilisation beaucoup plus facile de mots de passe différents pour chaque site et service

  • Peut être utilisé pour prévenir le hameçonnage de mots de passe

  • Peut être utilisé pour simuler certaines solutions MFA afin que les utilisateurs n'aient pas besoin de programmes ou de jetons MFA distincts

  • Peut être partagé entre appareils pour que les mots de passe soient là où l'utilisateur a besoin de les utiliser

  • Les mots de passe peuvent être sauvegardés plus facilement et en toute sécurité

  • Tous les mots de passe peuvent être protégés par la nécessité de se connecter au gestionnaire de mots de passe via MFA

  • Peut avertir l'utilisateur de mots de passe compromis dont il n'était pas autrement au courant

  • Avertira l'utilisateur des mots de passe identiques utilisés entre différents sites et services

  • Peut être partagé avec une ou plusieurs personnes de confiance en cas de besoin, lorsque l'utilisateur d'origine est temporairement ou définitivement indisponible ou incapable

C'est un risque très réel qu'un gestionnaire de mots de passe puisse être compromis et, suite à cette compromission, tous les mots de passe de l'utilisateur pour tous les sites et services enregistrés soient volés très rapidement d'un coup. C'est un risque énorme qui doit être mesuré et pondéré par les administrateurs ou les utilisateurs qui utilisent des gestionnaires de mots de passe.

Évaluer les Risques

Voici les problèmes compensatoires à mon esprit contre ce risque. Tout d'abord, afin de compromettre le programme de gestion de mots de passe d'un utilisateur, LA PLUPART du temps, l'attaquant doit accéder à l'appareil de l'utilisateur qui exécute le gestionnaire de mots de passe et y accéder pendant qu'il est ouvert ou en manipuler la configuration pour qu'il puisse facilement voler tous les mots de passe. Si l'attaquant a accès à l'appareil de l'utilisateur, la partie est déjà pratiquement terminée. Le pirate (ou son programme malveillant) peut obtenir certains ou tous les mots de passe en utilisant une variété d'autres méthodes, y compris simplement les enregistrer au clavier lorsque l'utilisateur les saisit ou les utilise.

Il existe également des attaques qui tentent d'exploiter les vulnérabilités logicielles dans le programme de gestion de mots de passe, mais tant que le fournisseur corrige rapidement les failles connues et que l'utilisateur applique ces correctifs rapidement (la plupart des programmes de gestion de mots de passe se mettent à jour automatiquement), c'est un problème passager et mineur. Parfois, les mots de passe de l'utilisateur sont également enregistrés dans le réseau cloud du fournisseur de gestion de mots de passe, et s'il est compromis, un attaquant peut accéder à tous les mots de passe stockés là-bas. Encore une fois, c'est un risque, mais la plupart des fournisseurs de gestionnaires de mots de passe essaient de garder leurs « coffres de mots de passe » clients dans une partie hautement sécurisée de leur réseau.

Ainsi, pour moi, le principal risque est celui d'un attaquant qui accède à l'appareil d'un utilisateur, accède au gestionnaire de mots de passe, puis vole tous les mots de passe. C'est un vrai risque. J'en ai entendu parler, mais pour le moment, ce n'est pas une attaque très populaire. À l'avenir, si les gestionnaires de mots de passe deviennent très populaires et que tout le monde les utilise, cela pourrait devenir une attaque populaire. Mais même si c'était une attaque populaire, je pense que, à chaque fois qu'un attaquant ou sa création de logiciel malveillant a accès à un bureau de l'utilisateur, c'est pratiquement déjà fini. Ils peuvent tout faire. Le fait qu'ils aient décidé d'attaquer votre gestionnaire de mots de passe et de voler vos mots de passe n'est qu'un de vos gros problèmes.

Note : L'utilisation de MFA anti-hameçonnage distincte peut aider à éviter cette situation, ou l'utilisation de « clés divisées » où l'utilisateur doit taper un secret basé sur la connaissance qui n'est pas enregistré dans le gestionnaire de mots de passe peut être une solution possible.

Pourquoi tout le monde devrait utiliser un gestionnaire de mots de passe pour ses mots de passe

Malgré ce grand risque, je pense que tout le monde devrait utiliser un gestionnaire de mots de passe pour ses mots de passe (si l'on ne peut pas utiliser la MFA résistante au hameçonnage). En effet, les deux plus grands risques pour les mots de passe (après le vol par ingénierie sociale) proviennent des mots de passe volés à partir d'un site ou d'un service que l'utilisateur utilise et de mots de passe faibles qui peuvent être devinés et piratés. Selon l'Institut national des normes et de la technologie (NIST) et d'autres autorités en matière de mots de passe, le plus grand risque pour les mots de passe est la réutilisation des mots de passe sur des sites et services non liés et la création par les utilisateurs de « modèles de mots de passe », qui peuvent être prédit par les pirates.

L'utilisateur moyen a quatre à sept mots de passe qu'il utilise sur plus de 170 sites et services. Ce sont beaucoup de mots de passe identiques utilisés là où ils ne devraient pas l'être. Le problème est qu'une fois qu'un pirate compromet un ou quelques-uns de vos sites Web (ce dont vous n'avez souvent même pas conscience), le pirate obtient votre mot de passe et les utilise ensuite sur vos autres sites et services. Une ou quelques compromissions conduisent rapidement à beaucoup d'autres compromissions. C'est considéré comme le plus grand risque de mot de passe après l'ingénierie sociale de votre mot de passe. Et les gestionnaires de mots de passe éliminent ce risque.

Les gestionnaires de mots de passe aident les utilisateurs à créer et à utiliser plus facilement des mots de passe différents et complètement indépendants pour chaque site et service. Lorsque vous utilisez un gestionnaire de mots de passe, vous ne connaissez même pas le mot de passe utilisé. Cela élimine l'un des plus grands risques de mot de passe, et pour cela seul, les gestionnaires de mots de passe devraient être utilisés. Mais il y a plus.

Les gestionnaires de mots de passe créent des mots de passe parfaitement aléatoires. Un mot de passe parfaitement aléatoire de 12 caractères ou plus ne peut pas être deviné ou craqué par hachage par quelque méthode que ce soit. Et ces mots de passe parfaitement aléatoires et sécurisés peuvent être différents pour chaque site Web et service.

L’ingénierie sociale est le plus grand risque

Le plus grand risque de tout mot de passe est qu'un utilisateur en soit victime par ingénierie sociale. Le vol de mots de passe par ingénierie sociale est impliqué dans environ la moitié de toutes les attaques réussies de mots de passe. La plupart des gestionnaires de mots de passe vous permettent de vous connecter à votre site ou service depuis le gestionnaire de mots de passe et le gestionnaire de mots de passe ne vous emmènera que sur le vrai site ou service légitime. Cela empêche le type le plus courant d'attaque d'ingénierie sociale de mots de passe, où l'attaquant vous envoie un e-mail d'ingénierie sociale contenant un lien URL frauduleux, qui tente de vous tromper pour révéler vos identifiants légitimes à un site Web faux et malveillant.

Ainsi, en révisant les avantages des gestionnaires de mots de passe, ils atténuent les plus grandes attaques de mots de passe (par exemple, ingénierie sociale, devinette/craquage et réutilisation). Tout expert en mots de passe vous dirait que ces trois types d'attaques de mots de passe représentent la majorité des risques pour les mots de passe. Et pour cette raison, tout le monde devrait utiliser un gestionnaire de mots de passe, ou au moins y réfléchir sérieusement face au grand risque d'un point de défaillance unique.

C'est à vous de décider si vous placez votre confiance, ou celle de vos utilisateurs, dans un gestionnaire de mots de passe. Essayez de les migrer vers MFA résistante au hameçonnage, si vous le pouvez, en premier. Mais si le site ou le service ne fonctionne pas avec MFA résistante au hameçonnage, envisagez d'utiliser un gestionnaire de mots de passe. Ils sont de plus en plus recommandés par de plus en plus d'experts en mots de passe chaque jour.

Articles en vedette

China Telecom Hack: How to Protect Your Messages

China Telecom Hack: How to Protect Your Messages

Learn how to protect your calls and texts following the Chinese telecom cyberattack with simple tips like using encrypted apps. Stay secure after the Salt Typhoon telecom hack with expert advice. 

China Telecom Hack: How to Protect Your Messages

China Telecom Hack: How to Protect Your Messages

Learn how to protect your calls and texts following the Chinese telecom cyberattack with simple tips like using encrypted apps. Stay secure after the Salt Typhoon telecom hack with expert advice. 

China Telecom Hack: How to Protect Your Messages

China Telecom Hack: How to Protect Your Messages

Learn how to protect your calls and texts following the Chinese telecom cyberattack with simple tips like using encrypted apps. Stay secure after the Salt Typhoon telecom hack with expert advice. 

Comment éviter les arnaques

Comment éviter les arnaques

Les escroqueries en ligne deviennent de plus en plus sophistiquées, ciblant des personnes de tous âges. Mais avec certaines connaissances, vous pouvez vous protéger, ainsi que vos proches.

Comment éviter les arnaques

Comment éviter les arnaques

Les escroqueries en ligne deviennent de plus en plus sophistiquées, ciblant des personnes de tous âges. Mais avec certaines connaissances, vous pouvez vous protéger, ainsi que vos proches.

Comment éviter les arnaques

Comment éviter les arnaques

Les escroqueries en ligne deviennent de plus en plus sophistiquées, ciblant des personnes de tous âges. Mais avec certaines connaissances, vous pouvez vous protéger, ainsi que vos proches.

Étiquettes

Cybercrime and Scams
Best Practices