Chaque jour, les services de Microsoft font face à environ 300 millions de tentatives d’authentification frauduleuse. Selon eux, le mot de passe unique ne suffit plus, et il est maintenant nécessaire pour les utilisateurs de passer à l’authentification à multiples facteurs s’ils souhaitent protéger leurs comptes correctement.
Le mot de passe à lui seul devient obsolète
Désormais, se contenter de protéger ses données avec un mot de passe, aussi compliqué et tordu soit-il, reviendrait à mettre son argent sous le matelas, ou fermer la porte de chez soi avec un cadenas Hello Kitty … si l’on en croit les préconisations de Microsoft.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
En mai dernier, c’est Google qui valorisait l’authentification à deux facteurs dans une de ses publications. Suite à une étude menée en partenariat avec l’Université de New York, et celle de Californie, la firme est arrivée aux conclusions suivantes : 100% des attaques robotisées (99,9%, selon Microsoft) peuvent être évitées, ne serait-ce qu’en ajoutant un numéro de téléphone de récupération. De la même manière, 99% des attaques de masse et 76% des attaques ciblées peuvent être repoussées.
Selon les experts de Microsoft, comme Alex Weinert chargé de la sécurité et de la protection au sein du groupe, et Melanie Maynes, chef de produit en stratégie marketing de sécurité, il est tout simplement aberrant de croire encore à l’utilité des mots de passe. Les conseils communément admis concernant leur longueur et leur complexité ne permettront en aucun cas de sécuriser les comptes et les données des utilisateurs.
L’authentification à multiples facteurs et la détection des menaces restent les meilleurs moyens pour lutter contre les pirates informatiques.
Toujours selon Alex Weiner, dans la majeure partie des cas, le mot de passe seul ne sert à rien, car, parmi les éléments qui interviennent pour prévenir et lutter contre les attaques, le mot de passe n’entre pas en ligne de compte, et reste donc parfaitement inutile. Il illustre d’ailleurs volontiers cette affirmation sur son propre compte Twitter.
I hope you enjoy this perspective on why complexity and length rules are generally not your friend. Your password doesn’t matter. https://t.co/muYoZ6PqZY
— Alex Weinert (@Alex_T_Weinert) July 9, 2019
Ainsi, que ce soit pour une violation d’identité, des attaques dirigées (i.e phishing attacks), des programmes malveillants (i.e malware), ou des extorsions en tout genre, les techniques utilisées par les hackers permettent de retrouver le mot de passe exact, tout simplement. D’où la nécessité d’une authentification en plusieurs étapes.