Journée mondiale du mot de passe: les informations d’identification de l’ordinateur sont tout aussi importantes que les mots de passe. Protégez-les également
L’expert discute de l’importance de garder les informations d’identification internes de l’ordinateur aussi sûres que vos mots de passe. Le besoin de sécurité ne disparaît jamais.
Karen Roby de TechRepublic s’est entretenue avec Robert Haynes de Checkmarx, une solution de sécurité logicielle, à propos de la Journée mondiale du mot de passe, le 6 mai 2021. Ce qui suit est une transcription révisée de leur conversation.
VOIR: Politique de réponse aux incidents de sécurité (TechRepublic Premium)
Karen Roby: Ainsi, les mots de passe sont toujours une chose. Beaucoup pensaient qu’à ce jour, ils appartiendraient au passé, mais ils sont toujours très vivants et causent encore malheureusement de nombreux problèmes pour nous les humains lorsque nos mots de passe sont compromis pour diverses raisons. Mais aujourd’hui, et j’aime ça, nous ne parlons pas tellement des humains et de nos mots de passe et des erreurs que nous commettons, mais nous parlons de mots de passe en quelque sorte dans les coulisses, des machines qui se parlent. C’est quelque chose dans lequel vous vous spécialisez. Qu’est-ce que les gens doivent savoir à ce sujet?
Robert Haynes: Tout comme nous utilisons tous des mots de passe pour accéder à ce que nous voulons faire, comme nos services bancaires ou nos médias sociaux, en arrière-plan, nous avons des services informatiques qui se parlent. Tout comme nous devons nous assurer que nous nous authentifions, nous authentifions ces mots de passe entre les services. Alors, peut-être que j’ai besoin de parler à une base de données ou j’ai besoin de parler à un service cloud. De toute évidence, nous devons authentifier cela. Nous habillons les mots de passe et nous les appelons des informations d’identification. Mais c’est essentiellement la même chose. Donc, une façon d’identifier qu’une fois qu’un service en parle à un autre, nous pouvons savoir qui ils sont et il y en a probablement presque autant qui circulent sur Internet que de mots de passe humains. Les conséquences de leur compromission ou de leur perte sont tout aussi importantes, sinon pires.
Karen Roby: Certes, les résultats peuvent être catastrophiques pour une entreprise lorsqu’ils sont compromis. Et je pense que cela surprendrait probablement les gens si vous ne vous arrêtez pas vraiment et y réfléchissez, que encore une fois, dans les coulisses, ces mots de passe d’identification sont là-bas, mais cela fait partie de l’épine dorsale de certaines entreprises et de la façon dont nous communiquons.
Robert Haynes: C’est la partie de tout. Nous devons nous authentifier entre les services. Mais si j’ai les références de quelqu’un d’autre, je peux faire beaucoup de mauvaises choses avec eux. Et je pourrais commencer à extraire du Bitcoin avec vos comptes Amazon, ou je pourrais accéder à une base de données ou je pourrais changer votre certificat de signature pour donner l’impression qu’il vient de moi et je peux faire toutes sortes de choses terribles si j’y ai accès. Nous devons donc protéger ces informations d’identification de la machine tout comme nous protégeons nos informations d’identification d’utilisateur.
Karen Roby: Comment pouvons-nous faire cela au mieux?
Robert Haynes: Vous savez, il existe de nombreux parallèles entre la façon dont les utilisateurs gèrent leurs mots de passe et la façon dont nous devons le faire avec les machines. Le conseil commun, nous entendons probablement beaucoup de fois lors de la Journée mondiale du mot de passe, est peut-être de ne pas écrire votre mot de passe sur une note autocollante et de le laisser sur votre bureau. Alors faites la même chose avec les machines. Comment vous stockez ces mots de passe dans vos machines de manière cryptée, comment vous les transmettez à vos systèmes, faites-le de manière cryptée pour que personne d’autre ne puisse le voir. Ne les laissez pas traîner. Parce que, par exemple, si je laisse des informations d’identification traîner et que j’oublie qu’elles sont dans mon code, et que je place peut-être mon code dans un endroit accessible au public, comme un GitHub ou un autre référentiel de code source, quelqu’un va trouver cela vraiment, vraiment rapidement et ils vont l’utiliser. Assurez-vous que nous stockons nos mots de passe en toute sécurité, assurez-vous que nous ne les disons à personne. Faites-les tourner. N’utilisez pas le même partout.
VOIR: Comment gérer les mots de passe: bonnes pratiques et conseils de sécurité (PDF gratuit) (TechRepublic)
Ce sont exactement les mêmes outils et techniques que nous devons utiliser à l’intérieur des machines ou à l’intérieur des services que nous utilisons dans notre type normal de mots de passe de médias sociaux.
Karen Roby: Comme je l’ai mentionné au début, Robert, beaucoup diraient qu’ils pensaient que d’ici cette année, 2021, nous ne parlerions plus de mots de passe. Et ici, c’est la Journée mondiale du mot de passe. Donc, nous parlons d’eux. Et je pense que les gens sont venus et commencent à comprendre: « Oh, peut-être que 12345 n’est pas le meilleur mot de passe. » Donc, nous avançons un peu, mais y aura-t-il un jour où nous n’aurons pas de mots de passe? Y aura-t-il un jour où le maillon faible des humains ne sera parfois pas impliqué? Nous n’avons donc plus à nous soucier des compromis? C’est une grande question. Je comprends que.
Robert Haynes: Devrons-nous un jour cesser de nous soucier de l’authentification et de l’identification? Non. Allons-nous nous éloigner des mots de passe? Un mot de passe est essentiellement un secret que vous connaissez, et tout ce à quoi vous essayez de parler le sait également. Donc, c’est comme un secret partagé. Allons-nous nous éloigner d’un mécanisme secret partagé? Peut-être, mais il y a une certaine simplicité et facilité. Si j’ai cette chose et que je la connais et que vous savez que je la connais, alors je peux m’authentifier. Donc, c’est très simple. C’est relativement facile à faire. Il est difficile de s’en éloigner. Nous pouvons être de plus en plus sophistiqués pour y ajouter des facteurs supplémentaires. Comme d’où vous venez, à quelle heure de la journée il est, d’autres choses.
Mais essentiellement le secret partagé où je m’identifie comme quelqu’un que j’ai, nous nous rapprochons. Nous avons une sorte de choses de type clé publique que nous pouvons aller, mais ils comptent toujours sur moi pour avoir quelque chose. Nous devrons toujours protéger certains secrets. Nous allons toujours devoir nous en préoccuper d’une manière, d’une forme ou d’une autre. J’espère que je dis que ce ne sera pas autant une question de mots de passe et de noms d’utilisateur, mais il devra toujours y avoir un moyen d’identifier une chose, une personne ou un appareil parlant à un autre appareil. Et quelqu’un essaiera toujours de trouver un moyen de contourner cela. Donc, nous ne cesserons jamais de nous en préoccuper. Vraiment, quelle que soit la manière dont nous nous authentifions, quelqu’un d’autre essaiera toujours de nous espionner pendant que nous le faisons.
VOIR: Cybersécurité: ne blâmez pas les employés, faites-leur sentir qu’ils font partie de la solution (TechRepublic)
Karen Roby: Oui. Et c’est ce qui est effrayant, Robert, c’est qu’il y a toujours quelqu’un qui se cache prêt à bondir lorsque les gens sont vulnérables et que nous avons été vulnérables cette dernière année avec tant de personnes travaillant à domicile et les équipes informatiques ont été poussées à bout. La sécurité est vraiment au premier plan maintenant. Ça doit être.
Robert Haynes: Ouais, absolument. Et je pense que l’essentiel, vous pouvez oublier toutes les solutions technologiques, vous pouvez oublier tout ce que la technologie pourrait mettre en place. Une grande partie se résume encore à la formation et à la formation des utilisateurs, à nous former. Je veux dire, nous faisons tous des erreurs. S’entraîner à être sûr de la façon dont nous utilisons nos mots de passe, là où nous stockons nos mots de passe. Toutes ces meilleures pratiques que nous connaissons et la même formation peuvent s’appliquer aux personnes qui développent les systèmes que nous utilisons également. Donc, former tout le monde à être sûr de la façon dont il gère les secrets est toujours très important.
Karen Roby: Super important. Peu importe le niveau de formation que vous avez en matière d’informatique. Droite?
Robert Haynes: Absolument. Nous sommes tous humains. Nous faisons tous des erreurs. Nous devons tous être rappelés. À l’instar de la Journée mondiale des mots de passe, nous devons nous rappeler que nous devons vérifier nos mots de passe.
Karen Roby: Ouais. C’est le moment de le faire. Certainement. J’apprécie vraiment, Robert, que vous soyez avec moi ici aujourd’hui et que vous en parliez à l’occasion de la Journée mondiale du mot de passe, car évidemment, la cybersécurité et tout ce qui y est lié est quelque chose dont nous pouvons parler pratiquement tous les jours.
Robert Haynes: Cela ne disparaît jamais.
Bulletin d’information sur la cybersécurité
Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières actualités, solutions et meilleures pratiques en matière de cybersécurité. Livré les mardis et jeudis
Inscrivez-vous aujourd’hui