Vulnérabilités de mot de passe: La plupart des systèmes d'un réseau d'entreprise utilisent un type d’authentification pour accepter ou refuser l'accès des utilisateurs.
| Lorsque les utilisateurs accèdent à un système, on leur demande généralement un nom d'utilisateur et un mot de passe.
Un nom d’utilisateur est assez facile à deviner, par rapport à son nom.
| C’est pourquoi il faut bien faire attention à ne pas utiliser un mot de passe par défaut, ou bien une chaine de texte facile à deviner.
Sinon, ce serait très simple pour une personne malveillante, d’accéder au système de l’utilisateur.
L’idéal est de se placer à la place de la personne malintentionnée, pour voir, si le mot de passe que l’on choisit est facile à deviner.
| Par exemple il faut fortement éviter ces types de password comme :
- • | Motdepasse
- • | Ou bien : motdepasse123
- • | Ou encore 123456
| Et bien sûr, éviter aussi, le couple utilisateur/mot de passe en : | Admin/admin
Un hacker peut soit tenter de trouver le mot de passe manuellement, c’est-à-dire en les essayant 1par1, ou bien à l’aide d’un logiciel, qui va utiliser un dictionnaire de mot de passe les plus courant, pour tenter de deviner celui de l’utilisateur.
Ce type de méthode risque tout de même de prendre un certain temps, et peut même être consommatrice en ressource informatique…
Pour atténuer le risque des attaques par mot de passe, une entreprise doit implémenter des stratégies sur l’ensemble de ces utilisateurs.
| Par exemple, elle pourrait imposer de longs mots de passe, composés d'une combinaison de caractères majuscules et minuscules ainsi que des chiffres et même de certains caractères spéciaux.
L'objectif est de rendre le mot de passe très complexe, pour qu’il soit difficile à trouver par une attaque de mot de passe.
De plus, l’idéal serait même, d’exiger qu’ils soient modifiés régulièrement, pour que les longues attaques de mot de passe, n’ai pas le temps de le trouver.
Alternatives de mot de passe
| Une entreprise peut également envisager d'utiliser des informations d'identification alternatives qui apportent plus de complexité et plus de sécurité.
| C’est ce qu’on appelle l’identification à 2 facteurs.
Ce qui permet ainsi de garantir que vous êtes la seule personne pouvant accéder à votre compte, même si quelqu’un d’autre connaît votre mot de passe.
Le deuxième facteur d’identification pourrait être :
- • | Une clé à changement dynamique
- • | Un message contenant un code à durée limitée
- • | Un Certificat numérique
- • | Ou bien même une identification biométrique
Ce qui pousse le système encore plus loin, en demandant comme facteur « quelque chose que vous êtes ».
L’idée est d'utiliser un attribut physique du corps d'un utilisateur pour identifier cette personne.
Les attributs physiques sont généralement uniques à la structure corporelle de chaque individu et ne peuvent donc pas être facilement volés ou dupliqués.
| Par exemple, l'empreinte digitale d'un utilisateur peut être analysée et utilisée comme facteur d'authentification.
D'autres exemples de ce deuxième facteur d’identification seraient :
- • | la reconnaissance faciale
- • | les empreintes palmaires
- • | la reconnaissance vocale
- • | la reconnaissance de l'iris
- • | et même les scans rétiniens.
Alors bien sûr, certaines méthodes sont plus fiables que d'autres.
Par exemple, les systèmes de reconnaissance faciale peuvent être trompés lorsqu'ils sont présentés avec des photographies.
Et même les empreintes ainsi que l’iris peuvent être altérés, par des blessures ou alors, simplement par le vieillissement de la personne.
| Pour contrer ces faiblesses, il est possible de combiner plusieurs identifications biométriques, pour authentifier les utilisateurs.
|
Caractéristique |
Juste le mot de passe |
2 facteurs d’identification |
Certificat numérique |
Biométrique |
|
Quelque chose que vous savez |
Oui |
Oui |
|
|
|
Quelque chose que vous avez |
|
Oui |
Oui |
|
|
Quelque chose que vous êtes |
|
|
|
Oui |
Le tableau répertorie les idées clés de chaque alternative à l'authentification par mot de passe.
FORMER les utilisateurs à la sÉCURITÉ
Une bonne approche, que pourrait avoir une entreprise pour améliorer la sécurité, serait | d’éduquer ses utilisateurs par le biais d'un programme de sécurité d'entreprise.
La plupart des utilisateurs n’ont pas forcément de notions d’informatique, ce qui les rend vulnérables aux attaques extérieures.
Par exemple, si les utilisateurs de l'entreprise reçoivent un e-mail contenant une menace dissimulée, et bien, ils pourraient être tentés de suivre un lien du mail pointant vers un site malveillant.
Ce qui aurait comme effet d’infecter l'ordinateur de l’utilisateur, en ouvrant une porte, c’est-à-dire un accès, qui introduirait un logiciel malveillant ou un ver…
C’est pourquoi il est important de sensibiliser ses utilisateurs à l’informatique, afin d’en améliorer la sécurité.
Pour une sécurité efficace, ce programme d’accompagnement devra porter sur plusieurs éléments de base :
- • | Il faut commencer par sensibiliser les utilisateurs:
C’est-à-dire qu’ils doivent être informés sur la nécessité de protéger les données de l’entreprise, ainsi même, que de leurs propres informations personnelles.
Il faut aussi les informés des différentes menaces qui existent, et de leur mettre à disposition, une procédures pour signaler les incidents de sécurité. - • | Dans le programme, il faut aussi inclure une Formation des utilisateurs, ou ils seront tenus d’y participer régulièrement, dans le but, de se familiariser avec toutes les politiques de sécurité de l'entreprise
- • | Et pour finir, il faut équiper l’entreprise d’un contrôle d'accès physique.
C’est-à-dire, que toutes les pièces contenant des armoires réseaux, ou les endroits, ou sont stocker les données de l’entreprise, doivent rester verrouillés en toute sécurité.
L’idéal est même d’avoir un accès par badges aux locaux sensibles, ce qui représente une solution évolutive, et permet de garder une trace avec un horodatage, des différentes personnes qui ont eu accès.
De plus, avec ce genre de système, il est très facile pour les admin réseau de contrôler les accès et de les supprimer rapidement, par exemple, quand un employé quitte l’entreprise.
Quiz
Question 1
Il faut fortement éviter, le couple utilisateur/mot de passe en : | Admin/admin ?
Vrai
Faux
Un hacker peut soit tenter de trouver le mot de passe manuellement, c’est-à-dire en les essayant 1par1, ou bien à l’aide d’un logiciel, qui va utiliser un dictionnaire de mot de passe les plus courant, pour tenter de deviner celui de l’utilisateur.
Question 2
Quel type de mot de passe est le + sécurisé ?
$Nolan21
nolannolan
211221121211212
L’idéal est d’avoir une combinaison de caractères majuscules et minuscules ainsi que des chiffres et même de certains caractères spéciaux
Question 3
Il n’est pas possible de combiner plusieurs identifications biométriques, pour authentifier les utilisateurs ?
Vrai
Faux
Les empreintes ainsi que l’iris peuvent être altérés, par des blessures ou alors, simplement par le vieillissement de la personne.
Pour contrer ces faiblesses, il est possible de combiner plusieurs identifications biométriques, pour authentifier les utilisateurs.
Question 4
Une bonne approche, que pourrait avoir une entreprise pour améliorer la sécurité, serait ?
d’éduquer ses utilisateurs par le biais d'un programme de sécurité d'entreprise
de forcer les utilisateurs à avoir un mot de passe, et de le changer régulièrement
La plupart des utilisateurs n’ont pas forcément de notions d’informatique, ce qui les rend vulnérables aux attaques extérieures.
Question 5
Il est recommandé d’imposer de longs mots de passe, composés d'une combinaison de caractères majuscules et minuscules ainsi que des chiffres et même de certains caractères spéciaux ?
Vrai
Faux
L'objectif est de rendre le mot de passe très complexe, pour qu’il soit difficile à trouver par une attaque de mot de passe.
Retrouver de nombreuses vidéos de cours sur la chaine Youtube Formip
Suivez le parcours CCNA sur le site Formip