De nombreuses entreprises technologiques du Fortune 500 utilisent des mots de passe extrêmement faibles

Selon les résultats d'une enquête

De nombreuses enquêtes ont montré que les internautes utilisent des mots de passe faciles à deviner, y compris le nom de leur animal, les noms des membres de la famille, les dates importantes, leur équipe sportive préférée comme mot de passe, et cela pourrait les exposer au risque que leurs comptes soient compromis par des cybercriminels. Bien que ces mots de passe soient faciles à retenir pour les internautes, cela pourrait mettre leurs comptes à la merci des méfaits des cybercriminels. Les attaquants pourraient extraire des informations des publications publiques sur les réseaux sociaux qui pourraient fournir des indices sur des choses comme les noms d'animaux de compagnie. Ils pourraient alors tenter d'utiliser ces informations pour pénétrer par effraction dans des comptes.

Ils pourraient également se servir d'un outil d'attaque par force brute pour tenter de pirater des comptes, qui utilisent des mots de passe simples en un seul mot avec une relative facilité. L'utilisation d'informations d'identification par défaut telles que « password » fournit également aux cybercriminels une méthode simple de violation de comptes.

En utilisant un mot de passe faible, les internautes peuvent mettre en danger des informations personnelles ou des détails financiers, surtout si ce même mot de passe est utilisé sur plusieurs comptes. Ils pourraient même potentiellement exposer leur employeur à des cyberattaques, si le mot de passe volé est également utilisé pour sécuriser les comptes d'entreprise et que les cybercriminels tentent de voir si le mot de passe qu'ils ont pris d'un compte personnel fonctionne.

Des entreprises comme password et Google ont commencé à offrir à leurs clients des services de génération de mots de passe aléatoires afin que des mots de passe hautement uniques et impossibles à déchiffrer puissent être créés, car c'est le genre de chose qui pourrait potentiellement finir par rendre beaucoup moins probable qu'un utilisateur pourrait finir par être piraté, causant ainsi un problème pour l'entreprise en général.

Par conséquent, vous serez (peut-être) surpris que les employés d'entreprises avec des capitalisations de plusieurs milliards de dollars qui sont cotées au Fortune 500 utilisent des mots de passe comme "password" ou une série de nombres séquentiels ainsi que divers mots et expressions simples et faciles à deviner. C'est en tout cas ce qu'indique suggère un rapport publié par NordPass, ce qui suggère que les pirates n'auraient absolument aucun mal à pirater le compte d'un employé.

Environ 1 mot de passe sur 5 analysés utilisait une variante du nom de l'entreprise, ce qui indique également une mauvaise hygiène des mots de passe. Un seul employé faisant l'objet d'un compromis pourrait permettre aux pirates d'accéder à l'ensemble du système et des erreurs comme celle-ci finissent par coûter des millions de dollars aux entreprises par an. Des mesures doivent être prises pour rectifier ce genre de choses, car elles donnent aux pirates informatiques avec des niveaux d'influence croissants le pouvoir de faire beaucoup plus de dégâts.

Du côté des entreprises de la Tech dans le Fortune 500, voici le top 10 des mots de passe recensés sur les 2 742 591 comptés :

1. password
2. research
3. 123456
4. aaron431
5. Nom de l'entreprise76 (Ce mot de passe est le nom de l'entreprise ou une variation du nom – par exemple Nom de l'entreprise2002 – NordPass s'est refusé à donner des noms d'entreprise)
6. linkedin
7. Nom de l'entreprise123
8. career121
9. pass1
10. password1

L'étude souligne également qu'en comparaison avec d'autres, l'industrie des ressources humaines avait le pourcentage de mot de passe unique le plus élevé (soit 31 %).

La création de mots de passe uniques et difficiles à déchiffrer devrait être un aspect standard du travail pour une entreprise, mais il est clair que l'accent n'est pas suffisamment mis sur cela dans l'ensemble.

Des conseils sur les mots de passe

Le National Cyber Security Center (NCSC) exhorte les internautes à faire des mots de passe composés de trois mots aléatoires pour aider à sécuriser leurs comptes, mots de passe qui peuvent être enregistrés dans un navigateur Internet . L'idée est que trois mots sont relativement faciles à retenir, mais en les rendant aléatoires, cela empêchera les cybercriminels de se frayer un chemin dans les comptes, même à l'aide d'outils de la force brute :

« lorsque vous utilisez des mots de passe différents pour vos comptes importants, il peut être difficile de tous les retenir. Un bon moyen de créer des mots de passe forts et mémorables consiste à utiliser trois mots aléatoires. N'utilisez pas de mots qui peuvent être devinés (comme le nom de votre animal). Vous pouvez inclure des nombres et des symboles si nécessaire. Par exemple, "RedPantsTree4!" La sauvegarde de vos mots de passe dans votre navigateur vous aidera à les gérer ».


Dans sa campagne CyberAware, l'organisme conseille aux particuliers et aux organisations de suivre les meilleures pratiques de mot de passe suivantes :

• Utilisez un mot de passe fort et distinct pour votre e-mail. Si un pirate informatique pénètre dans votre courrier électronique, il peut réinitialiser les mots de passe de vos autres comptes et accéder aux informations que vous avez enregistrées sur vous-même ou votre entreprise. Votre mot de passe de messagerie doit être fort et différent de tous vos autres mots de passe.
• Créez des mots de passe forts en utilisant trois mots aléatoires – lorsque vous utilisez des mots de passe différents pour vos comptes importants, il peut être difficile de tous les mémoriser.
• N'utilisez pas de mots qui peuvent être devinés (comme le nom de votre animal). Vous pouvez inclure des nombres et des symboles si nécessaire. Par exemple, "RedPantsTree4!"
• Enregistrer vos mots de passe dans votre navigateur Web vous aidera à les gérer et vous protégera contre certaines menaces, telles que les sites Web factices (par exemple, le gestionnaire de mots de passe ne fonctionnera pas si le site Web est une fausse version du site Web conçue pour voler les informations d'identification).

Il est également recommandé aux utilisateurs d'activer l'authentification à deux facteurs pour fournir une barrière supplémentaire aux attaques.

Source : NordPass

Et vous ?

Êtes-vous surpris de voir les mots de passe utilisés au sein des entreprises technologiques dans le Fortune 500 ? Dans quelle mesure ?
En entreprise, vous servez-vous du gestionnaire de mots de passe intégré à votre navigateur ou d'un autre gestionnaire de mots de passe ? Lequel ?
Si vous ne vous en servez pas, comment conservez-vous vos mots de passe ?
Comment procédez-vous pour créer votre mot de passe (généré par un gestionnaire, combinaison de certains mots et symboles, etc.) ? Vous est-il imposé ou avez-vous la possibilité d'en définir un ?
Que pensez-vous de l'idée de se servir de trois mots aléatoires pour composer un mot de passe ?
Utilisez-vous un mot de passe fort pour tous les sites ? Sinon, comment déterminez-vous sur quel site utiliser un mot de passe fort ?

Voir aussi :

PlanetScale, une base de données pour les développeurs basé sur Vitess, qui ne souffrirait pas des contraintes liées à la gestion d'un schéma comme dans MySQL
Un gestionnaire de mots de passe a permis à des pirates de voler potentiellement les données de 29 000 entreprises, suite à un piratage du mécanisme de mise à jour de Passwordstate
Plus de la moitié des employés écrivent leurs mots de passe liés au travail sur des post-it, ce qui entraîne un risque important pour la cybersécurité, selon Keeper Security
GPT-3, le système de génération de texte d'OpenAI, produit désormais 4,5 milliards de mots par jour avec une précision de 91 %