J'ai récemment rencontré Eric Vanderburg, expert en cybersécurité, directeur des systèmes d’information et de la sécurité chez Geronov, pour tenter de comprendre certains des problèmes liés au système de nom d’utilisateur et de mot de passe et pour savoir s’il était temps de changer.
Beaucoup de gens disent que les mots de passe sont morts - ou que le concept même de mots de passe devient dépassé. Quel est votre avis là-dessus?
$config[code] not foundEric Vanderburg: Il s’agit en réalité de la difficulté des utilisateurs à accepter certaines des technologies alternatives. Dans le même temps, de nombreux systèmes hérités dépendent toujours de noms d'utilisateur et de mots de passe. Le problème, c’est que les gens doivent garder de plus en plus de mots de passe au fil du temps - parfois, ils essaient de retenir 40 mots de passe. Ils les écrivent. Ils utilisent le même mot de passe pour tout. Ils les ont placés dans une application de gestion de mot de passe, qui transfère potentiellement le risque d'un ordinateur local à une application en nuage. Donc, je ne sais pas si je dirais que les mots de passe sont morts, mais qu’ils ont vraiment besoin d’être remplacés.
Cliquez sur le lecteur ci-dessous pour écouter l'intégralité de l'interview d'Eric Vanderburg maintenant:
Mais les gestionnaires de mots de passe sont-ils vulnérables au piratage?
Vanderburg: Oui, ils sont. S'il se trouve sur votre ordinateur local, vous pourriez être infecté par un logiciel malveillant contenant un enregistreur de clé. Dès que vous vous connectez à votre application de gestion de mots de passe, le logiciel malveillant enregistre votre mot de passe et va extraire le reste des mots de passe du gestionnaire et commencer à les utiliser. Si vous utilisez une application cloud, celle-ci peut bénéficier de protections mais, en cas d'attaque du fournisseur de cloud, vos informations d'identification peuvent être exposées.
Qu'en pensez-vous authentification à deux facteurs (2FA), où les tentatives de connexion aux comptes en ligne sont vérifiées via un deuxième appareil appartenant à l'utilisateur, tel qu'un smartphone?
Vanderburg: 2FA est certainement mieux que juste avoir un nom d'utilisateur et un mot de passe. Cependant, chez Geronov, nous ne recommandons pas l’utilisation de SMS ou d’e-mails pour 2FA en raison du risque d’interception. Il est relativement facile pour les cybercriminels d’acquérir le contenu en clair de l’information contenue dans les messages texte et les courriels.
Selon vous, que se passe-t-il en termes de nouvelles technologies telles que la biométrie?
Vanderburg: La chose intéressante à propos de ces technologies est qu’elles sont devenues beaucoup plus faciles pour les utilisateurs. Lorsque la biométrie est apparue pour la première fois, d’une part, elle était vraiment chère et, d’autre part, elle nécessitait une sorte de matériel complémentaire que les utilisateurs ne connaissaient pas bien. Donc, il y avait toute cette formation supplémentaire, et les systèmes casseraient ou fonctionneraient mal et les utilisateurs ne pourraient pas faire leur travail. Cependant, depuis quelques années, des téléphones iPhone et Android reconnaissent les empreintes digitales et Windows Hello offre la reconnaissance faciale. Et vous n’avez pas besoin d’acheter quoi que ce soit pour utiliser cette fonction. Le logiciel prend en charge la biométrie, ce qui facilite grandement l’adoption de la technologie par les utilisateurs.
Y at-il quelque chose de nouveau sous le soleil en ce qui concerne les meilleures pratiques de gestion de mot de passe? Quel conseil donnes-tu aux gens?
Vanderburg: J'aime toujours les phrases de passe pour les mots de passe. Les miens sont longs, maladroits et compliqués. Mais vous le dites une ou deux fois et vous réalisez: «Oh, je peux m'en souvenir.» Et essayez de rendre chaque phrase de passe très différente. Les gens aiment simplement substituer un mot ou quelque chose du genre lors de la création de nouvelles phrases de passe. Mais vous devez vous rappeler que si un mot de passe est jamais exposé, un cybercriminel tentera ultérieurement des variantes similaires de ce mot de passe.
Norman Guadagno est évangéliste en chef et vice-président principal du marketing chez Carbonite . Certaines parties de cette interview ont été éditées pour plus de clarté.
Photo de mot de passe via Shutterstock
Plus à: Sponsorisé 1