Qu'est-ce qu'une politique de mot de passe et comment en créer une ?
Publié: 2023-01-26Les mots de passe compromis sont l'une des principales raisons des violations de données. En fait, plus de 80 % des violations liées au piratage sont causées par des problèmes liés aux mots de passe. Une politique de mot de passe fort peut aider à garantir que tout le monde dans votre entreprise utilise des mots de passe forts.
Alors, qu'est-ce qu'une politique de mot de passe ? Comment pouvez-vous créer une politique de mot de passe standard ? Et quelles sont les meilleures pratiques en matière de politique de mot de passe ? Découvrons ci-dessous.
Qu'est-ce qu'une politique de mot de passe ?
Une politique de mot de passe est un ensemble de directives pour que chaque membre d'une entreprise crée un mot de passe fort et l'utilise correctement pour améliorer la sécurité informatique et la sécurité en ligne.
Une politique de mot de passe standard comprend ce que les utilisateurs doivent prendre en compte et ce qu'ils doivent éviter lors de la création, de la modification, du stockage ou du partage de mots de passe.
Par exemple, votre stratégie de mot de passe peut imposer aux utilisateurs de créer des mots de passe plus longs, comprenant un certain nombre de caractères spéciaux.
Selon les besoins de votre organisation, vous pouvez rendre votre politique de mot de passe consultative ou obligatoire.
Pourquoi les stratégies de mot de passe sont-elles importantes ?
Une politique de mot de passe peut vous aider à appliquer la pratique consistant à utiliser des mots de passe forts et uniques dans votre entreprise pour améliorer la sécurité des mots de passe.
Voici les principales raisons pour lesquelles la mise en œuvre d'une politique de sécurité par mot de passe fort est essentielle pour votre entreprise :
- La réutilisation des mots de passe est une erreur de sécurité. Une politique de mot de passe peut rapidement exclure la pratique de la réutilisation des mots de passe
- Une politique de mot de passe forte avec une clause d'authentification multifacteur vous aide à minimiser dans une large mesure divers risques de sécurité
- Tout le monde dans votre entreprise commencera à créer des mots de passe complexes et à les stocker en toute sécurité. En conséquence, vos mots de passe seront à l'abri des attaques par force brute et d'autres attaques liées aux mots de passe.
- Une politique de mot de passe solide signale à vos clients et fournisseurs que vous prenez des mesures strictes pour protéger les mots de passe. Cela peut aider à établir une relation de confiance avec eux
Enfin, une politique de mot de passe cultive une culture de cybersécurité qui est de la plus haute importance dans le monde d'aujourd'hui, car les petites entreprises deviennent de plus en plus la cible de divers types d'attaques de cybersécurité.
Comment créer une politique de mot de passe standard
Voici un processus étape par étape pour créer une stratégie de mot de passe fort :
1. Définir les exigences de complexité du mot de passe
Les administrateurs système ou les services informatiques doivent définir des directives sur la complexité des mots de passe pour garantir la création d'un mot de passe fort.
Voici les exigences essentielles en matière de mot de passe à inclure dans votre politique de mot de passe pour aider les utilisateurs à éviter de créer des mots de passe faibles :
- Les mots de passe doivent comporter au moins dix caractères (plus c'est mieux)
- Les utilisateurs doivent inclure des lettres majuscules, des lettres minuscules et des caractères spéciaux dans les mots de passe
- Inclure des mots mal orthographiés est une bonne tactique pour créer des mots de passe complexes
Les attaques par force brute et les attaques par dictionnaire peuvent déchiffrer des mots de passe simples. Votre politique de mot de passe doit donc avoir des exigences de complexité pour encourager les utilisateurs à créer des mots de passe à l'épreuve des pirates.
2. Créez une liste de refus de mot de passe
En plus d'avoir ce que les utilisateurs doivent faire, votre politique de mot de passe doit également indiquer les choses que les utilisateurs doivent éviter lors de la création de mots de passe.
Une liste de refus de mot de passe peut inclure les éléments suivants :
- Informations relatives à la personne telles que le nom, la date de naissance, le lieu de naissance, le titre du poste, etc.
- Numéros de téléphone, numéros de maison ou numéro de rue
- Nom du conjoint, des enfants ou des proches
- Réutiliser le même mot de passe sur plusieurs comptes
En règle générale, la liste de refus de votre politique de mot de passe doit inclure tout type d'informations personnelles ou un modèle simple (comme QWERTY à 123456).
3. Définir une période d'expiration du mot de passe
L'idée principale derrière la définition d'une période d'expiration de mot de passe est que les pirates ne sauront pas si les mots de passe qu'ils ont trouvés lors d'une ancienne violation de données fonctionneront.
Par exemple, votre mot de passe est divulgué dans un incident de violation de données vieux de deux mois. Et vous changez votre mot de passe tous les mois. Les pirates ne pourront pas accéder à votre compte en utilisant ce mot de passe divulgué.
Idéalement, la période d'expiration du mot de passe devrait être fixée à trois mois. Mais vous pouvez ajuster cette période, en fonction des besoins de votre entreprise. De plus, vous devez vous assurer que vos employés ne réutilisent pas les mêmes mots de passe pour d'autres comptes.
4. Appliquer l'authentification multifacteur
L'authentification multifacteur (MFA) peut renforcer la sécurité des comptes de votre entreprise. En effet, les pirates ne pourront pas accéder aux comptes même s'ils obtiennent les identifiants et les mots de passe de ces comptes.
Par conséquent, votre stratégie de mot de passe doit obliger les utilisateurs à implémenter MFA pour tous les comptes qui autorisent cette fonctionnalité.
5. Inclure le seuil de verrouillage du compte
Le seuil de verrouillage de compte permet aux comptes d'utilisateurs d'être verrouillés après un certain nombre de tentatives de connexion infructueuses. Cette fonctionnalité protège vos comptes des attaques par force brute et des attaques par dictionnaire.
Idéalement, vous pouvez définir le seuil de verrouillage du compte sur cinq tentatives de connexion infructueuses. Cela inclut la mise en place d'une période de verrouillage de compte de 15 minutes.
6. Avoir des directives sur la façon de stocker les mots de passe
Savez-vous que 55 % des employés enregistrent les mots de passe dans des notes autocollantes ? La manière dont vos employés stockent les mots de passe a un impact sur la sécurité des mots de passe.
Stocker des mots de passe dans un e-mail, une application de note sur un téléphone, des notes papier et des documents sur un ordinateur est une mauvaise pratique. Et cela affaiblit la sécurité des mots de passe, même si les mots de passe sont longs et complexes.
Par conséquent, votre politique de sécurité des mots de passe doit inclure des directives claires pour stocker les mots de passe en toute sécurité. Et une façon de le faire est d'utiliser un gestionnaire de mots de passe, qui garde votre mot de passe crypté et stocké en toute sécurité derrière le mot de passe principal.
Bien que la plupart des navigateurs disposent aujourd'hui d'une fonctionnalité permettant de stocker les mots de passe, l'utilisation d'un gestionnaire de mots de passe pour stocker les mots de passe est une option plus sécurisée. Un gestionnaire de mots de passe offre également des moyens sécurisés de partager des mots de passe entre différents utilisateurs.
7. Définir les conséquences pour les contrevenants aux politiques
Vous avez créé une politique de sécurité par mot de passe pour sécuriser les ordinateurs et les comptes en ligne. Donc tout le monde devrait le suivre religieusement. Définir des conséquences pour ceux qui enfreignent fréquemment la politique peut être une bonne idée pour encourager tous les utilisateurs à respecter la politique de mot de passe,
Cependant, vous devez concevoir des moyens créatifs pour que les contrevenants à la politique de mot de passe aient l'impression d'avoir commis des erreurs. Toute punition sévère peut les transformer en une menace intérieure.
Fournissez aux contrevenants à la politique plus de sessions de formation de sensibilisation et encouragez-les à suivre la politique de mot de passe. Mais si quelqu'un fait des erreurs à plusieurs reprises malgré de nombreux avertissements, le laisser partir peut être la meilleure option, car il met votre entreprise en danger.
8. Mettez régulièrement à jour votre politique de mot de passe
Votre politique de mot de passe ne doit pas être gravée dans le marbre. Au lieu de cela, vous devriez revoir votre politique de mot de passe de temps en temps et vérifier si elle a réussi :
- Veiller à ce que les utilisateurs créent des mots de passe longs et complexes
- Empêcher les utilisateurs de créer de nouveaux mots de passe faciles à pirater
- Encourager les utilisateurs à changer fréquemment de mot de passe, comme recommandé dans la politique
- Empêcher les utilisateurs d'utiliser le même mot de passe pour plusieurs comptes
Ajuster votre politique de mot de passe conformément aux observations faites lors d'audits de mot de passe réguliers vous aide à créer une politique de mot de passe robuste pour améliorer la sécurité des mots de passe dans votre entreprise.
Meilleures pratiques en matière de politique de mot de passe
Voici les meilleures pratiques pour maximiser le succès de votre politique de mot de passe :
1. Avoir une politique de mot de passe facile d'accès
Le guide de politique doit être organisé de manière à ce que les utilisateurs puissent facilement naviguer dans différentes sections telles que la création de mot de passe et le stockage de mot de passe.
Préparez à la fois une copie papier et une copie électronique de votre politique de mot de passe pour vous assurer que les utilisateurs peuvent y accéder comme ils le souhaitent.
2. Adoptez un système de gestion des mots de passe
Inclure l'utilisation obligatoire d'un gestionnaire de mots de passe dans votre politique peut renforcer considérablement la sécurité des mots de passe. Comment?
Les employés doivent créer plusieurs mots de passe de nos jours. Et créer un mot de passe unique pour chaque compte peut être un problème pour de nombreux utilisateurs. Un gestionnaire de mots de passe peut créer instantanément un mot de passe difficile à déchiffrer et enregistrer plusieurs mots de passe en toute sécurité.
3. Interdire le partage de mot de passe non sécurisé
Le partage de mots de passe entre utilisateurs est une pratique courante dans l'environnement commercial actuel lorsque plusieurs employés travaillent sur un même projet.
Pour améliorer la sécurité des mots de passe, vous devez vous assurer que personne ne partage les mots de passe via des SMS, des e-mails ou des messages instantanés. Le partage de mot de passe sécurisé est indispensable pour améliorer la sécurité des mots de passe. Tous les gestionnaires de mots de passe réputés permettent aux utilisateurs de partager des mots de passe en toute sécurité.
4. Mettre en œuvre le temps de connexion
Les employés ne doivent se connecter aux comptes et aux systèmes que lorsqu'ils les utilisent. Garder les comptes et les systèmes connectés lorsque personne ne les utilise est une pratique de cybersécurité moche. Et la politique de mot de passe devrait strictement interdire cette pratique.
5. Effectuez des audits réguliers des mots de passe
Établissez des audits de mot de passe comme une pratique régulière pour vérifier l'efficacité de votre politique de mot de passe. Cela vous aidera à déterminer les domaines d'amélioration de votre politique de mot de passe pour maximiser son succès.
Quelles sont les directives de mot de passe NIST ?
Les directives essentielles du NIST pour les mots de passe incluent, mais sans s'y limiter, la création de mots de passe d'au moins huit caractères, l'accent mis sur la longueur plutôt que sur la complexité, l'activation des paramètres "Afficher le mot de passe", la mise en œuvre d'une authentification à deux ou plusieurs facteurs et l'évitement des changements fréquents de mot de passe.
Les mots de passe complexes sont-ils aussi importants que la longueur minimale du mot de passe ?
La complexité et la longueur du mot de passe sont toutes deux nécessaires pour créer des mots de passe difficiles à pirater. Mais choisir des mots de passe plus complexes plutôt que des mots de passe plus longs rend difficile la mémorisation des mots de passe par les utilisateurs. Il est recommandé de maximiser la longueur et la complexité si une entreprise utilise une application de gestion de mots de passe.
À quelle fréquence les mots de passe doivent-ils être changés ?
La plupart des experts en cybersécurité recommandent de changer les mots de passe tous les trois mois. Tous les bons gestionnaires de mots de passe ont souvent une fonctionnalité qui indique si les mots de passe enregistrés sont trouvés dans un incident de violation de données. Vous devez immédiatement modifier un mot de passe s'il est exposé à une violation de données.
Les petites entreprises devraient-elles utiliser un gestionnaire de mots de passe ?
Oui, les petites entreprises devraient utiliser un gestionnaire de mots de passe. Une application de gestion de mots de passe peut aider vos employés à créer des mots de passe complexes, à stocker des mots de passe en toute sécurité et à partager des mots de passe en toute sécurité. L'utilisation d'un gestionnaire de mots de passe offre une protection fiable par mot de passe.
Quelle est la politique de mot de passe idéal ?
La politique de mot de passe idéale met l'accent sur la création de mots de passe difficiles à déchiffrer, le stockage sécurisé des mots de passe et l'utilisation de différents mots de passe pour différents comptes. Il met également l'accent sur le changement fréquent des anciens mots de passe.
VOUS POURRIEZ AUSSI AIMER:
- Partager des mots de passe WiFi professionnels n'a pas à être difficile, utilisez des codes QR comme celui-ci
Image : Éléments Envato