Il y a quelques jours, L’ANSSI a publié un guide destiné aux professionnels comme aux particuliers. L’objectif est de proposer des recommandations de sécurité relatives à l’authentification en général et relative à l’authentification par mots de passe en particulier.
Ce guide traite de l’authentification pour tout type d’accès. Du déverrouillage d’un terminal (poste Windows, Linux, etc.), de l’accès à des comptes à privilèges (par des administrateurs par exemple), de l’accès à des applications web (privées ou publiques), etc.
Les recommandations de ce guide doivent être analysées vis-à-vis du contexte dans lequel l’authentification s’effectue. En effet, l’authentification sur un site de réservation d’un terrain de tennis et l’authentification sur un réseau contenant des données sensibles ne font pas face aux mêmes menaces et n’ont donc pas les mêmes besoins de sécurité.
Le guide de l’ANSSI » Recommandations relatives à l’authentification multifacteur et aux mots de passe » est accessible ici.
De nombreux contrôles permettent de s’assurer que les mots de passe créés offrent une robustesse en accord avec le niveau de sécurité souhaité, pourtant, le marché offre peu de solutions logiciels pour la mise en pratique de ces différentes guidelines.
« Avec la multiplication des cyberattaques depuis 2020 dont 80% sont des attaques par mot de passe, il était important que l’État, et au premier chef, l’ANSSI réagisse en modifiant ses préconisations pour suivre les évolutions récentes des autres organismes nationaux ainsi que pour s’adapter aux nouvelles stratégies des cybercriminels, estime Marc Turbe, Directeur Marketing pour Specops Software.
Dans le même temps, l’offre en matière de protection des mots de passe a désormais bien évolué depuis 2012. Nous le voyons comme un véritable appel du pied de l’ANSSI pour inciter les entreprises et institutions françaises à plancher sérieusement sur les vulnérabilités liées aux mots de passe, particulièrement au niveau de l’Active Directory, l’annuaire du réseau interne d’une entreprise, là où se concentrent les attaques. Que l’ANSSI recommande la mise en place d’un contrôle des mots de passe en bloquant les mots de passe compromis est une grande avancée en termes de sécurité.
Cependant, comme l’indique l’ANSSI, les logiciels permettant d’assurer l’application des règles définies dans la politique de sécurité des mots de passe sont encore rares et à notre avis, ils sont encore moins nombreux à être véritablement efficaces. Certains se limitent à un dictionnaire de seulement 1000 mots quelle que soit la langue ”.
Source: IT Channel