Le 07/05 est la Journée mondiale du mot de passe (World Password Day) !

Cette journée, à l’initiative d’Intel Security et qui fédère de nombreux acteurs de renoms tel Microsoft, Samsung, Lastpass, Acer, Toshiba, etc., a pour objectif de sensibiliser les utilisateurs de l’outil informatique et les internautes à consolider, renouveler et diversifier leurs mots de passe.

Un portail web dédié à cette journée à été mis en place, comportant de nombreux conseils et un testeur de fiabilité de mot de passe.

SYNETIS vous proposait fin 2013 une série d’article de “révision” sur les bonnes pratiques de la sécurité :

• A vos révisions : Authentification des utilisateurs
• A vos révisions : Gestion des habilitations et sensibilisation des utilisateurs
• A vos révisions : Informatique et libertés

A titre de rappel :

Les précautions élémentaires :

• A propos des identifiants (ou logins) des utilisateurs, ceux-ci doivent, dans la mesure du possible, être différents de ceux des comptes définis par défaut par les éditeurs de logiciels. Les comptes par défaut doivent être désactivés.

Aucun compte ne devrait être partagé entre plusieurs utilisateurs.

• Dans le cas d’une authentification des utilisateurs basée sur des mots de passe, leur mise en œuvre doit respecter les règles suivantes :
• avoir une taille de 8 caractères minimum ;
• utiliser des caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux). Des moyens mnémotechniques permettent de créer des mots de passe complexe, par exemple
• en ne conservant que les premières lettres des mots d’une phrase ;
• en mettant une majuscule si le mot est un nom (ex : Chef) ;
• en gardant des signes de ponctuation (ex : ’) ;
• en exprimant les nombres à l’aide des chiffres de 0 à 9 (ex : Un ->1) ;

Exemple, la phrase «un Chef d’Entreprise averti en vaut deux» correspond au mot de passe 1Cd’Eaev2 ;

• changer de mot de passe régulièrement (tous les 3 mois par exemple).
• Lorsque le renouvellement d’un mot de passe est consécutif à un oubli, une fois que le mot de passe a été réinitialisé, l’utilisateur doit être dans l’obligation de le changer dès sa première connexion afin de le personnaliser.

Ce qu’il ne faut pas faire

• Communiquer son mot de passe à autrui ;
• stocker ses mots de passe dans un fichier en clair ou dans un lieu facilement accessible par d’autres personnes ;
• utiliser des mots de passe ayant un lien avec soi (nom, date de naissance, …) ;
• utiliser le même mot de passe pour des accès différents ;
• configurer les applications logicielles afin qu’elles permettent d’enregistrer les mots de passe.

Nous vous invitons à renouveler, complexifier et revoir vos politiques de gestion de mot de passe. SYNETIS préconise l’utilisation de l’authentification forte pour renforcer la gestion des crédentiels. Spécialiste en intégration de ces solutions et en partenariat avec de nombreux éditeurs, nos consultants sont à votre écoute pour de plus amples informations.

Sources & ressources :

• Password Day .org
• C’est la journée mondiale du mot de passe. L’occasion d’en changer ?
• McAfee Blogs: Change Your Password. World Password Day is 7 May! – Security Innovator
• It’s World Password Day, Change Yours – Softpedia

Yann

Consultant Sécurité