L’échec des mots de passe statiques est patent : différents supports ont publié la liste des mots de passe les plus utilisés ; 90 % des mots de passe s’avèrent vulnérables ; 8 caractères ne suffisent pas pour un mot de passe ; 2012 est l’année de la violation des mots de passe… Par Jan Valcke Président et COO de Vasco Data Security.

La guerre contre les pirates et les faiblesses des mots de passe est ouverte. Des entreprises misent sur la biométrie et les terminaux intelligents pour lutter comme le problème. Mais pourquoi faire si compliqué alors qu’il existe déjà une solution efficace, simple et sécurisée : les mots de passe dynamiques.

Sur Internet, la menace est omniprésente. Tout le monde en est conscient mais personne ne croit que cela va lui arriver. Pourtant, les exemples de comptes piratés et de personnes perdant toute leur vie numérique sont innombrables. Et l’on en revient toujours au même problème : les mots de passe statiques. S’ils sont trop simples, il est facile pour les pirates de les trouver et de les intercepter. Et s’ils sont trop complexes, ils sont oubliés ou… notés sur un bout de papier. Trouver le bon équilibre entre sécurité et confort d’utilisation est difficile.

La plupart des utilisateurs d’ordinateur ne veulent pas avoir à se montrer ingénieux lorsqu’il s’agit d’inventer un mot de passe. Après tout, ils en ont besoin plusieurs fois par jour et ne veulent pas gâcher un temps précieux à réfléchir à de multiples mots de passe compliqués. Dès lors, de nombreux internautes choisissent d’inscrire le nom de leurs enfants, de leurs proches ou de leurs animaux de compagnie, leur date de naissance ou bien choisissent tout simplement des combinaisons de touches du clavier telles que 123456. Pire, ils tendent à utiliser les mêmes mots de passe pour de multiples comptes d’utilisateur. Et les applications personnelles et professionnelles sont rarement traitées de manière différente… Du pain bénit pour les pirates.

Face à une telle situation, les entreprises obligent leurs employés à changer leurs mots de passe régulièrement. Néanmoins, les mots de passe sont fréquemment oubliés. Cela se traduit par une charge de travail supplémentaire pour les DSI.

Enfin, les mots de passe statiques ne sont par essence pas sûrs.

Cela signifie-t-il que nous devons renoncer aux mots de passe ? Non, bien au contraire !

L’avenir sera dynamique

VASCO estime que les mots de passe ont encore un avenir. Cela impose cependant  qu’ils soient dynamiques. Il s’agit donc de mots de passe à usage unique (one-time password, OTP) qui ne peuvent pas, comme leur nom l’indique, être réutilisés et ont une durée de vie limitée à quelques secondes.

Les OTP sont le résultat d’un processus d’authentification à deux facteurs. L’authentification forte, comme on l’appelle également, s’appuie sur deux éléments qui sont requis pour s’identifier de manière sécurisée, par exemple, quelque chose que vous avez – comme un appareil DIGIPASS qui génère des mots de passe à usage unique – et quelque chose que vous savez – comme un code PIN ou un mot de passe statique. Ces deux éléments doivent être partie prenante durant le processus d’identification. Lorsqu’ils sont combinés l’un avec l’autre, la personne associée à l’appareil d’authentification peut accéder en sécurité à ses applications. Il n’y a ainsi aucun intérêt à intercepter des mots de passe à usage unique : ils ne peuvent pas être réutilisés.

Jan Valcke Président et COO de Vasco Data Security