Le simple respect des normes de sécurité des mots de passe ne suffit pas
Le 2025 Breached Password Report de Specops a analysé plus d’un milliard de mots de passe volés par des logiciels malveillants. Conclusion : nos passwords ne sont toujours pas assez robustes.
C’est une réalité : des sésames sans aucune sécurité, tels que 123456, admin et password restent toujours largement utilisés. Inutile de les complexifier en ajoutant simplement un caractère spécial, observe Specos. Les trois exemples les plus courants Pass@123, P@ssw0rd, Aa@123456 ne résistent pas aux attaques par force brute.
« Même si la politique de mots de passe de votre organisation est solide et répond aux normes de conformité, cela ne protégera pas les mots de passe contre le vol par des logiciels malveillants, commente Darren James, Senior Product Manager chez Specops. En fait, nous constatons que de nombreux mots de passe volés dans cet ensemble de données dépassent les exigences de longueur et de complexité des réglementations courantes en matière de cybersécurité. »
Passwords plus longs
Specops a notamment constaté que 230 millions de mots de passe volés répondent aux exigences de complexité standard de nombreuses organisations (plus de huit caractères, une majuscule, un chiffre et un caractère spécial). Cela montre que le simple respect des normes de sécurité des mots de passe ne suffit pas.
Specops rejoint le NIST (National Institute of Standards and Technology ) qui conseille de se concentrer davantage sur l’augmentation de la longueur des mots de passe. La longueur des sésames la plus utilisée est de huit caractères, correspondant à ce critère obligatoire imposé par la quasi-totalité des sites dans le monde.
Réutilisation
Autre constat dénoncé par Specops, la réutilisation des mots de passe sur quatre comptes ou plus. Si ces données d’authentification volées se retrouvent sur l’annuaire l’Active Directory d’une organisation, elles permettent l’accès à tous les autres mots de passe. Lesquels peuvent aussi servir pour l’usage d’un VPN. Le risque est alors maximal…