Ce guide décrit et modélise les conseils et recommandations actuels concernant les mots de passe pour les concepteurs et les ingénieurs qui créent des applications en ligne sécurisées. Un guide associé, intitulé Sécurité des mots de passe pour les utilisateurs, contient des conseils destinés aux utilisateurs finaux. Ce guide couvre les nombreuses options à prendre en compte lors de la création d'un système d'authentification par mot de passe. Il définit également un ensemble de recommandations axées sur l'utilisateur concernant les règles et le stockage des mots de passe, y compris sur l'équilibre à trouver entre leur niveau de sécurité et leur facilité d'utilisation.
Le secteur des technologies s'efforce d'améliorer la gestion des mots de passe depuis les débuts de l'informatique. L'authentification basée sur la connaissance partagée pose problème, car les informations peuvent tomber en de mauvaises mains ou être oubliées. Le problème est amplifié par la non-compatibilité des systèmes avec les cas réels d'utilisation sécurisée et par le comportement des utilisateurs finaux, qui optent souvent pour la facilité.
Selon une étude Yubico/Ponemon de 2019, 69 % des personnes interrogées reconnaissent avoir partagé des mots de passe avec leurs collègues pour accéder à des comptes. Plus de la moitié des personnes interrogées (51 %) réutilisent en moyenne cinq mots de passe dans leurs comptes professionnels et personnels. En outre, l'authentification à deux facteurs (2FA) reste peu répandue, même si elle offre une protection supérieure à la simple saisie d'un nom d'utilisateur et d'un mot de passe. 67 % des personnes interrogées n'utilisent aucune forme d'authentification 2FA dans leur vie privée, et 55 % ne l'utilisent pas au travail.
Les systèmes de mots de passe conçus pour les applications modernes peuvent également permettre, voire encourager, les utilisateurs à définir des mots de passe non sécurisés. Les systèmes qui n'autorisent que les identifiants à un seul facteur et qui mettent en œuvre des règles de sécurité inefficaces accroissent le problème. Des règles arbitraires et incohérentes permettent aux utilisateurs de gérer leurs mots de passe de manière non sécurisée, et les systèmes de récupération de mot de passe peuvent exposer l'utilisateur et l'application à des catégories de menaces qu'ils n'avaient pas envisagées.
Présentation
Ce document aborde les thèmes suivants :
- Sources fiables d'informations sérieuses et documentées sur la sécurité des mots de passe
- Recommandations destinées aux ingénieurs qui créent des systèmes de gestion de mots de passe
- Antimodèles courants et légendes urbaines concernant la sécurité des mots de passe
- Autres sujets de réflexion dans ce domaine
Pour lire le livre blanc en entier, cliquez sur le bouton :