Selon une nouvelle étude, les professionnels du cloud devraient repenser leur recours aux mots de passe pour sécuriser leurs systèmes.
Une enquête récente de Beyond Identity (s’ouvre dans un nouvel onglet) ont constaté que plus des quatre cinquièmes sont confiants dans l’efficacité et la sécurité des mots de passe, avec plus d’un tiers déclarant qu’ils sont très confiants.
Cependant, Beyond Identity estime que cette confiance est mal placée, car les mots de passe ont « des vulnérabilités de sécurité inhérentes, une valeur en tant que cible pour les acteurs de la menace et [there are] frustrations généralisées autour des exigences d’hygiène des mots de passe. »
Plus de confiance
L’entreprise a également cité des recherches (s’ouvre dans un nouvel onglet) qui a constaté que les mauvaises habitudes de mot de passe sont régulièrement exploitées par les acteurs de la menace, et 80 % de toutes les violations sont réalisées en utilisant des identités qui ont été compromises.
Malgré la confiance, l’enquête a également révélé un mécontentement parmi les professionnels du cloud concernant les exigences d’hygiène pour les systèmes basés sur des mots de passe. Leurs frustrations étaient causées par le fait de devoir se souvenir de plusieurs mots de passe (60 %), de devoir les changer régulièrement (52 %) et de devoir choisir des chaînes longues et complexes (52 %).
Un quart utilise entre 4 et 5 mots de passe par jour, et un dixième en utilise 10 ou plus. Plus d’un tiers des organisations recommandent également que les mots de passe soient changés tous les trimestres, tandis qu’un peu moins d’un tiers recommandent des changements mensuels et 6 % recommandent des changements quotidiens ou hebdomadaires. Et malgré les efforts déployés, Beyond Identity affirme que de telles pratiques entraînent des « avantages de sécurité minimes ».
Même si l’utilisation d’un gestionnaire de mots de passe et du meilleur générateur de mots de passe peut grandement améliorer ces problèmes, l’autre problème de sécurité sérieux avec les mots de passe est leur vulnérabilité au phishing. Plus d’un tiers des professionnels du cloud ont déclaré avoir signalé entre un et trois e-mails de phishing qu’ils avaient reçus, tandis que 18 % en avaient signalé entre quatre et six et près d’un quart en avaient signalé sept ou plus.
Plus préoccupant était le fait que 11 % ont déclaré ne pas avoir signalé un e-mail de phishing qu’ils avaient reçu et un cinquième n’étaient pas sûrs d’avoir cliqué par erreur sur un lien malveillant dans un e-mail. Un cinquième a également déclaré connaître des collègues qui avaient cliqué dessus, et un quart ont déclaré avoir cliqué dessus eux-mêmes, certains le faisant régulièrement.
En ce qui concerne l’authentification multifacteur (MFA), 82 % des entreprises cloud l’ont utilisée, la méthode la plus populaire étant l’utilisation d’une application d’authentification mobile. Plus de la moitié étaient également très confiants dans l’AMF en tant que mesure de sécurité.
Encore une fois, cependant, Beyond Identity affirme que la MFA n’est peut-être pas aussi sécurisée que le pensent les professionnels, faisant référence aux violations subies par Reddit et Uber où la MFA a été compromise.
La solution consiste donc à utiliser des systèmes sans mot de passe, tels que les clés d’accès, qui résistent au phishing car il n’y a pas d’informations d’identification à rechercher. Une clé cryptographique est stockée sur un appareil utilisateur et se combine avec la clé publique du service donné pour fournir un accès utilisateur. Personne – pas même l’utilisateur – ne sait quelle est la clé privée.
« Si vous souhaitez éliminer le risque de violation, vous avez besoin de ces systèmes fondamentaux en place. Cette recherche met en évidence un besoin critique pour les organisations cloud de mettre à jour leurs systèmes préhistoriques et de se concentrer sur l’authentification sans mot de passe et la MFA résistante au phishing », a déclaré Patrick McBride, co-fondateur de Beyond Identity.