Votre entreprise pourrait-elle être la prochaine victime des pirates informatiques avides de mots de passe ? Après les informations incessantes sur les intrusions de pirates sur LinkedIn, e Harmony et d’autres sites en ligne, qui ont entraîné la fuite de millions de mots de passe, vous vous demandez peut-être si votre entreprise est mieux préparée ou protégée. C’est une bonne question, compte tenu des risques. Les mots de passe volés qui permettent à des intrus d’accéder à vos systèmes peuvent entraîner des escroqueries et des fraudes coûteuses, ternir la réputation de votre entreprise, provoquer des défections de clients et engendrer des coûts de nettoyage importants.
Peu d’entreprises stockent correctement les mots de passe, même si cela n’est généralement pas difficile, selon les experts en sécurité. La plupart des développeurs Web ne sont pas formés aux meilleures pratiques actuelles et ne mettent pas en œuvre des technologies de sécurité suffisamment solides. Souvent, ils négligent la sécurité ou prévoient de l’ajouter plus tard.
Si un système de mot de passe faible est mis en place dès le début de la vie d’une entreprise, il reste souvent inchangé lorsque l’entreprise se développe, par exemple, pour devenir un mastodonte des réseaux sociaux. À ce moment-là, l’infrastructure technologique de l’entreprise est devenue plus complexe et plus coûteuse à mettre à niveau, ce qui entraîne des retards supplémentaires.
Heureusement, être un entrepreneur présente des avantages si vous devez rendre le stockage des mots de passe plus sûr. La tâche est “plus facile pour les petites entreprises, car leurs systèmes sont moins complexes et elles ont moins d’utilisateurs dont elles doivent se préoccuper. Les startups qui font table rase du passé peuvent le faire en cinq minutes. Voici quelques précautions proposer par l’agence de création site web que vous pouvez prendre pour fortifier votre entreprise contre les voleurs de mots de passe :
Sécurisez votre site Web.
La plupart des vols de mots de passe commencent par une attaque sur le site Web de l’entreprise victime. Faites vérifier votre site par un expert en sécurité Web pour détecter les vulnérabilités logicielles et les erreurs de codage qui créent des voies d’accès à votre base de données de mots de passe, ou analysez-le vous-même pour détecter les failles et corriger ce qui ne va pas.
Stockez les mots de passe en toute sécurité.
Si un pirate s’introduit sur votre site, votre meilleure défense consiste à crypter fortement les mots de passe, de sorte que leur décryptage soit extrêmement lent ou quasiment impossible. Au cours de ce processus, elles devraient également ajouter du “sel”, c’est-à-dire des données aléatoires supplémentaires, à chaque mot de passe afin de compliquer davantage les tentatives de craquage. Il est également utile de demander aux utilisateurs de définir des mots de passe longs et complexes, qui peuvent être beaucoup plus difficiles à deviner que des mots de passe courts ou courants.
Malheureusement, de nombreuses entreprises hachent les mots de passe en utilisant des technologies de cryptage obsolètes, telles que SHA-1 datant des années 1970. (LinkedIn a utilisé SHA-1 sans sel.) SHA-1, MD5 et d’autres technologies encore populaires ont été craquées par les pirates il y a longtemps et offrent peu de protection, selon les experts.
Les entreprises devraient utiliser des méthodes de cryptage conçues pour les mots de passe, comme le logiciel libre Bcrypt, qui soumet les mots de passe à un algorithme de cryptage de nombreuses fois, de sorte que leur décryptage peut littéralement prendre des années. Bien que cette opération puisse prendre du temps, elle ne doit être effectuée que lorsqu’un utilisateur crée ou modifie un mot de passe.
Pensez à l’authentification à deux facteurs.
Certaines personnes affirment que les mots de passe ont fait leur temps et qu’ils doivent simplement être remplacés par quelque chose de plus fort. Ce quelque chose est l'”authentification à deux facteurs”, qui nécessite quelque chose que vous connaissez (un mot de passe) et quelque chose que vous avez en votre possession. Le second facteur est souvent un dispositif qui fournit un code à usage unique difficile à voler, que les utilisateurs saisissent en même temps que leur mot de passe.
Si vos mots de passe déverrouillent des informations particulièrement sensibles, vous pouvez envisager de mettre en place une authentification à deux facteurs.
Grâce à Google, la mise en œuvre de l’authentification à deux facteurs est devenue beaucoup plus facile pour les petites entreprises ces dernières années. Google permet aux entreprises d’utiliser OpenID pour se connecter gratuitement à ses systèmes pour l’authentification, qui peut inclure une “vérification en deux étapes” avec un message texte sur un smartphone. Les entreprises peuvent également mettre en œuvre elles-mêmes cette authentification à deux facteurs en utilisant le logiciel libre Google Authenticator.
Mettez-le par écrit et vérifiez-le.
Lorsque vous engagez un développeur Web, incluez la sécurité des mots de passe dans vos exigences afin que le développeur soit tenu de corriger tout problème. Aller plus loin et de demander à votre développeur de s’engager à traiter les dix principaux risques de sécurité des applications Web identifiés par le groupe à but non lucratif OWASP, parmi lesquels figure le stockage non sécurisé des mots de passe.
Assurez-vous également que tout logiciel tiers que vous utilisez, comme les formulaires Web et les systèmes de gestion de contenu, dispose d’un dispositif de mot de passe sécurisé. Engagez un expert en sécurité, ne serait-ce que pour une journée, afin qu’il examine votre système de mots de passe et les autres mesures de sécurité de votre site et s’assure qu’ils sont sûrs et solides.