Les mots de passe d’entreprise sont toujours violés à un rythme alarmant, de nombreuses entreprises continuant d’utiliser les chaînes les plus facilement piratables imaginables.
Dans son rapport annuel sur les mots de passe faibles (s’ouvre dans un nouvel onglet)la société de gestion de mots de passe Specops Software a analysé plus de 800 millions de mots de passe piratés, concluant qu’ils sont « toujours le maillon le plus faible du réseau d’une organisation ».
Sans surprise, 88 % de ceux qui ont été piratés étaient composés de 12 caractères ou moins, les expressions les plus courantes étant « mot de passe », « admin », « bienvenue » et « p@ssw0rd ». Près de 20 % contenaient également exclusivement des caractères minuscules.
Pas assez fort
Ce qui est peut-être plus surprenant, c’est que même les mots de passe considérés comme forts conformément aux normes telles que NIST et PCI représentaient 83 % des personnes compromises.
« Cela montre que si les organisations déploient des efforts concertés pour suivre les meilleures pratiques en matière de mots de passe et les normes de l’industrie, il reste encore beaucoup à faire pour garantir que les mots de passe sont forts et uniques », a noté Darren James, chef de produit chez Specops.
« Avec la sophistication des attaques par mot de passe modernes, des mesures de sécurité supplémentaires sont toujours nécessaires pour protéger l’accès aux données sensibles », a-t-il ajouté.
Les attaques par force brute étaient monnaie courante pour les acteurs de la menace, passant par des mots de passe courants et violés et les utilisant en combinaison avec un e-mail professionnel jusqu’à ce qu’ils aient finalement accès au compte d’une entreprise.
Le rapport a même révélé que les anciens mots de passe, comme celui divulgué lors d’une violation de MySpace en 2016, étaient toujours utilisés avec succès par les pirates.
Il mentionne également la violation de Nvidia en avril 2022, où de nombreux employés avaient sécurisé leurs comptes avec des mots de passe faibles tels que « Nvidia », « qwerty » et « nvidia3d », ce qui montre que même les grandes et importantes entreprises sont coupables de mauvaises pratiques en matière de mots de passe.
Pour résoudre le problème, James recommande aux entreprises de protéger d’abord « Active Directory, la solution d’authentification universelle pour les réseaux de domaine Windows ». Ensuite, des logiciels tiers, tels que des gestionnaires de mots de passe et des générateurs de mots de passe, doivent être utilisés pour créer et garantir l’utilisation de mots de passe forts et uniques.