Une nouvelle étude de Specops Software révèle que 88 % des mots de passe utilisés dans les attaques réussies sont composés de 12 caractères ou moins, le plus courant ne comportant que huit caractères (24 %). L'étude, réalisée en grande partie à partir de l'analyse de 800 millions de mots de passe piratés, révèle que les termes de base les plus couramment utilisés dans les mots de passe sont tristement familiers : « password », « admin », « welcome » et « p@ssw0rd ».Les mots de passe ne contenant que des lettres minuscules sont la combinaison de caractères la plus courante, représentant 18,82 % des mots de passe utilisés dans les attaques. Toutefois, l'étude révèle également que 83 % des mots de passe compromis satisfont aux exigences de longueur et de complexité des normes de conformité en matière de cybersécurité, telles que NIST, PCI, ICO pour RGPD, HITRUST pour HIPAA et Cyber Essentials pour NCSC.
« Cela montre que même si les organisations font des efforts concertés pour suivre les meilleures pratiques en matière de mots de passe et les normes de l'industrie, il faut faire plus pour s'assurer que les mots de passe sont forts et uniques. Avec la sophistication des attaques modernes par mot de passe, des mesures de sécurité supplémentaires sont toujours nécessaires pour protéger l'accès aux données sensibles », déclare Darren James, chef de produit chez Specops Software.
Les acteurs de la menace utiliseront des mots de passe courants, probables et même violés pour les comparer systématiquement à la messagerie électronique d'un utilisateur afin d'accéder à un compte donné dans le cadre d'une attaque par force brute. Lors de la violation de données de Nvidia en 2022, au cours de laquelle des milliers de mots de passe d'employés ont été divulgués, de nombreux employés avaient utilisé des mots de passe tels que « Nvidia », « qwerty » et « nvidia3d », offrant ainsi aux pirates une voie d'accès facile au réseau.
« L'édition 2023 du rapport sur les mots de passe faibles réaffirme les défis permanents que représente la sécurisation du maillon le plus faible de l'environnement informatique de l'entreprise. Pour rester à la hauteur des attaques actuelles, toutes les entreprises devraient mettre en place des politiques de mots de passe strictes, y compris des dictionnaires personnalisés liés à l'organisation », ajoute James.
Source : Specops Software
Et vous ?
Que pensez-vous des résultats de cette étude ? Les trouvez-vous pertinents ?Voir aussi :
Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe GitHub n'accepte plus les mots de passe pour l'authentification Git, les clefs SSH, OAut, jeton d'installation de GitHub App, ou une clef de sécurité matérielle, telle que YubiKey sont désormais exigé Les responsables informatiques sont convaincus que les mots de passe ne sont plus capables de protéger les données et réduisent également le taux de productivité moyen d'une organisation Cybersécurité : 66 statistiques sur les mots de passe qui vont changer vos habitudes en ligne par Panda Security
Envoyé par Lafilousse
