Chaque jour, les services de Microsoft font face à environ 300 millions de tentatives d’authentification frauduleuse. Selon eux, le mot de passe unique ne suffit plus, et il est maintenant nécessaire pour les utilisateurs de passer à l’authentification à multiples facteurs s’ils souhaitent protéger leurs comptes correctement.

Le mot de passe à lui seul devient obsolète

Désormais, se contenter de protéger ses données avec un mot de passe, aussi compliqué et tordu soit-il, reviendrait à mettre son argent sous le matelas, ou fermer la porte de chez soi avec un cadenas Hello Kitty … si l’on en croit les préconisations de Microsoft.

En mai dernier, c’est Google qui valorisait l’authentification à deux facteurs dans une de ses publications. Suite à une étude menée en partenariat avec l’Université de New York, et celle de Californie, la firme est arrivée aux conclusions suivantes : 100% des attaques robotisées (99,9%, selon Microsoft) peuvent être évitées, ne serait-ce qu’en ajoutant un numéro de téléphone de récupération. De la même manière, 99% des attaques de masse et 76% des attaques ciblées peuvent être repoussées.

Selon les experts de Microsoft, comme Alex Weinert chargé de la sécurité et de la protection au sein du groupe, et Melanie Maynes, chef de produit en stratégie marketing de sécurité, il est tout simplement aberrant de croire encore à l’utilité des mots de passe. Les conseils communément admis concernant leur longueur et leur complexité ne permettront en aucun cas de sécuriser les comptes et les données des utilisateurs.
L’authentification à multiples facteurs et la détection des menaces restent les meilleurs moyens pour lutter contre les pirates informatiques.

Toujours selon Alex Weiner, dans la majeure partie des cas, le mot de passe seul ne sert à rien, car, parmi les éléments qui interviennent pour prévenir et lutter contre les attaques, le mot de passe n’entre pas en ligne de compte, et reste donc parfaitement inutile. Il illustre d’ailleurs volontiers cette affirmation sur son propre compte Twitter.

Ainsi, que ce soit pour une violation d’identité, des attaques dirigées (i.e phishing attacks), des programmes malveillants (i.e malware), ou des extorsions en tout genre, les techniques utilisées par les hackers permettent de retrouver le mot de passe exact, tout simplement. D’où la nécessité d’une authentification en plusieurs étapes.