Si le fournisseur de service prend en charge l’authentification multifacteur, Microsoft recommande de l’utiliser, qu’il s’agisse d’un mot de passe aussi simple que des mots de passe à usage unique basés sur SMS ou des solutions biométriques avancées.
« Chaque semaine, j'ai au moins une conversation avec un décideur en matière de sécurité durant laquelle j'explique pourquoi une grande partie de l'hyperbole à propos des mots de passe - "n'utilisez jamais un mot de passe qui a fuité", "utilisez des mots de passe très longs", "les phrases secrètes vont nous sauver", etc. - va à l'encontre de nos recherches et de la réalité que voit notre équipe alors que nous nous défendons chaque jour contre des centaines de millions d'attaques au mot de passe. Se concentrer sur les règles de mot de passe plutôt que sur ce qui peut vraiment aider, comme l'authentification multifactorielle (MFA) ou la détection efficace des menaces, n'est qu'une distraction.
« Parce que voici le truc: quand il s’agit de composition et de longueur, votre mot de passe n’a pas d’importance ».
Vous avez bien lu centaines de millions. Des propos confirmés par Melanie Maynes, Senior Product Marketing Manager Microsoft Security, qui assure que « chaque jour, plus de 300 millions de tentatives de connexion frauduleuses à nos services cloud sont effectuées ».
Weinert faisait partie des ingénieurs de Microsoft qui ont travaillé en 2016 pour interdire les mots de passe faisant partie des listes de violations publiques des systèmes Account et Azure AD de Microsoft. Grâce à son travail, les utilisateurs de Microsoft qui utilisaient ou tentaient d'utiliser un mot de passe fuité dans une précédente violation de données ont été invités à modifier leurs informations d'identification.
Mais Weinert a déclaré que malgré le blocage des informations d'identification divulguées ou des mots de passe simplistes, les pirates informatiques ont continué à compromettre les comptes Microsoft au cours des années suivantes.
Il attribue cela au fait que les mots de passe ou leur complexité ne comptent plus vraiment. De nos jours, les pirates disposent de différentes méthodes pour mettre la main sur les informations d'identification des utilisateurs, et dans la plupart des cas, le mot de passe importe peu.
Attaque | Aussi connue sous le nom de ... | Fréquence | Difficulté : mécanisme | L'utilisateur aide l'attaquant en ... | Votre mot de passe est-il important ? |
Credential stuffing | Breach replay, list cleaning | Très haute - plus de 20 millions de comptes sondés quotidiennement dans les systèmes d'identification MSFT | Très facile : les identifiants achetés sur des sites compromis avec des stratégies de repos des données incorrectes sont testés pour rechercher des correspondances sur d'autres systèmes. Les outils de type list cleaning sont facilement disponibles | Étant humain. Les mots de passe sont difficiles à imaginer. 62% des utilisateurs admettent les réutiliser | Non - l'attaquant a le mot de passe exact. |
Phishing | Man-in-the-middle, credential interception | Très haute. 0,5% de tous les mails entrants. | Facile : les hackers envoient des courriels qui promettent de divertir ou qui sont menaçants, et donnent un lien malveillant à l’utilisateur pour l'inviter à se connecter. Ils vont alors se saisir de ses identifiants. L'utilisation de Modlishka ou des outils similaires facilite énormément cette procédure. | Étant humain. Les gens sont curieux ou inquiets et ignorent les signes avant-coureurs. | Non - l'utilisateur donne le mot de passe à l'attaquant |
Keystroke logging | Malware, sniffing | Faible | Moyen: les logiciels malveillants enregistrent et transmettent les noms d'utilisateur et les mots de passe saisis, mais généralement tout le reste également, de sorte que les attaquants doivent analyser les éléments. | En cliquant sur les liens, en étant administrateur, en ne recherchant pas de programmes malveillants. | Non - le malware intercepte exactement ce qui est tapé. |
Local discovery | Dumpster diving, physical recon, network scanning. | Faible | Difficile : les hackers recherchent dans le bureau ou le journal de l’utilisateur les mots de passe écrits, analysent le réseau pour chercher des partages ouverts, recherchent des identifiants dans le code ou les scripts de maintenance. | Écrire des mots de passe (en raison de la complexité ou du manque de SSO); utilisation de mots de passe pour les comptes non suivis | Non - mot de passe exact découvert. |
Extortion | Blackmail, Insider threat | Très faible. Mais excellente dans les films. | Difficile : les hackers menacent de blesser ou d’embarrasser le titulaire d’un compte si des informations d’identification ne sont pas fournies. | Étant humain | Non - mot de passe exact divulgué |
Password spray | Guessing, hammering, low-and-slow | Très élevée - représente au moins 16% des attaques. Parfois, des centaines de milliers de comptes sont ouverts par jour. Des millions sont sondés chaque jour. | Trivial : les hackers se servent des listes d'utilisateurs faciles à acquérir, essayent le même mot de passe sur un très grand nombre de noms d'utilisateurs. Règlent la vitesse et la distribution sur de nombreuses adresses IP pour éviter la détection. Les outils sont disponibles facilement et à moindre coût. | Étant humain. En utilisant des mots de passe courants tels que qwerty123 ou Summer2018! | Non, à moins que ce ne soit dans la poignée de mots de passe les plus utilisés par les attaquants. |
Brute force | Database extraction, cracking | Très faible | Varie: les hackers pénétrent le réseau pour extraire des fichiers. Cela peut être facile si l’organisation cible est faiblement défendue (par exemple, des comptes avec des mots de masse uniquement chez les administrateurs), plus difficile s'il y a des défenses appropriées de la base de données, y compris la sécurité physique et la sécurité des opérations. Les hackers effectuent un cracking sur le mot de passe. La difficulté varie selon le chiffrement utilisé. | Rien | Non, sauf si vous utilisez un mot de passe inutilisable (et donc un gestionnaire de mot de passe) ou une phrase secrète vraiment créative. |
Weinert affirme que l'activation d'une solution d'authentification multi-facteurs bloque 99,9% des tentatives de connexion non autorisées, même si les pirates informatiques disposent d'une copie du mot de passe actuel de l'utilisateur. Le 0,1% représente des attaques plus sophistiquées qui utilisent des solutions techniques pour capturer les jetons MFA, mais ces attaques sont encore très rares.
« Votre mot de passe n’a pas d’importance en dehors du password spray (évitez les mots de passe les plus utilisés) ou du brute force (utilisez plus de 8 caractères, ou utilisez un gestionnaire de mot de passe si vous êtes vraiment inquiet). Cela ne veut pas dire que votre mot de passe n’est pas mauvais. Il est mauvais, étant donné la probabilité qu’il soit deviné, intercepté, pris via une attaque par hameçonnage ou réutilisé.
« Votre mot de passe importe peu, mais la MFA si ! Sur la base de nos études, votre compte a plus de 99,9% de moins de chances d'être compromis si vous utilisez la MFA ».
Sources : Microsoft, Microsoft
Et vous ?
Utilisez-vous une authentification à plusieurs facteurs ?
Si oui est-ce systématique ou pour des types de comptes en particulier ? Lesquels ?
Quels facteurs utilisez-vous (SMS, appel, biométrie, etc.) ?
Si non, pourquoi n'utilisez-vous pas une authentification à plusieurs facteurs ?
Voir aussi :
Pornographie : Matignon veut un système d'authentification numérique sécurisé permettant de valider la majorité de l'utilisateur sans l'identifier
Il se fait voler 100 000 $ de son compte Coinbase par des pirates qui ont pu violer l'authentification à deux facteurs
Les MdP trop faibles sont devenus une menace majeure, rendant nécessaire l'authentification multifacteur, d'après le dernier rapport WatchGuard
Microsoft va imposer l'authentification multifacteurs sur les comptes admin d'Azure AD pour réduire le risque quand un mot de passe est compromis