Au-delà des mots de passe : pourquoi faire confiance à l’hygiène des mots de passe ne suffit pas

Accueil » Blog » Au-delà des mots de passe : pourquoi faire confiance à l’hygiène des mots de passe ne suffit pas

Discutons des mots de passe et de la sécurité de l'identité. En saisissant un mot de passe que vous seul connaissez, vous « prouvez » en théorie à un système que vous êtes celui que vous prétendez être. Ils sont largement utilisés dans le monde IT/OT depuis très longtemps – sans doute trop longtemps.  

Pour rendre les mots de passe un peu plus sécurisés, certaines organisations ont une politique concernant la complexité et la fréquence des changements de mot de passe. C'est pourquoi il existe des solutions axées sur la détection des problèmes d'hygiène des mots de passe ou d'alertes similaires. 

Quels sont les différents problèmes d’hygiène des mots de passe ? 

L'hygiène des mots de passe fait référence à la pratique de création, de gestion et de protection des mots de passe. Il se compose de lignes directrices et de bonnes pratiques conçues pour réduire le risque d'accès non autorisé ou identifiants compromis. Voici quelques problèmes courants liés à l’hygiène des mots de passe : 

  1. Mots de passe faibles: L'utilisation de mots de passe simples et faciles à deviner ; par exemple, « 123456 » ou « mot de passe ». Ces mots de passe sont faciles à déchiffrer car ils sont courts et n’ont pas la complexité de mélanger des lettres, des chiffres et des caractères spéciaux.  
  1. Mots de passe en double ou partagés : L’utilisation du même mot de passe sur plusieurs systèmes/comptes augmente le risque si un système/compte est compromis. 
  1. Anciens mots de passe: Ne pas mettre régulièrement à jour les mots de passe peut laisser à un attaquant suffisamment de temps pour deviner le mot de passe, ou conduire à une exposition prolongée si un mot de passe est compromis.  
      

La détection d’une mauvaise hygiène des mots de passe est-elle la bonne approche ? 

Oui et non. En théorie, les alertes sont une bonne chose, mais les organisations ne doivent pas se concentrer uniquement sur la détection et la réaction aux alertes. Avoir davantage d’alertes à examiner chaque jour n’est pas toujours utile, et la détection rétrospective seule pourrait s’avérer insuffisante, trop tardive, dans la mesure où l’attaquant en a peut-être déjà profité.  

De plus, même avec une bonne hygiène des mots de passe, les acteurs malveillants peuvent toujours obtenir des informations d’identification à votre insu. Même un mot de passe fort qui n'a pas été partagé ni trouvé sur le dark web pourrait être compromis par le phishing ou par des outils comme Mimikatz.  

Supposons que les mots de passe seront compromis et adoptons une approche différente pour protéger les identités – une approche qui donne la priorité à la protection. L'essentiel est de garantir que même si un attaquant a obtenu des informations d'identification valides, il ne pourra pas les utiliser pour des activités malveillantes telles que l'exécution de mouvement latéral. En bref, ne vous concentrez pas uniquement sur la détection, concentrez-vous sur la protection. 

La protection est meilleure

Votre sécurité d'identité la stratégie doit être construite autour de la protection de votre identité, plutôt que de simplement ajouter davantage d’alertes. 

Pour les comptes humains, ça pourrait être fort MFA et des contrôles d'accès conditionnel, même pour les interfaces considérées comme « non protégées » comme les outils CLI ou les partages de fichiers. Ainsi, même si un attaquant tente d’utiliser des informations d’identification compromises avec ces interfaces, il sera confronté à une autre couche de sécurité.  

N'oubliez pas les identités non humaines (NHI)  

NHI et Active Directory les comptes de service doivent également être protégés. Leur activité est généralement automatisée et basée sur une communication de machine à machine. Il est courant pour identités non humaines avoir des privilèges élevés ou même un accès administratif en fonction des exigences de chaque fournisseur. À grande échelle, cela pourrait représenter beaucoup. Les comptes de service compromis peuvent être utilisés pour effectuer diverses activités malveillantes, telles que l'exécution de mouvements latéraux à des fins de déploiement. ransomware

Certaines organisations essaient différentes manières de comptes de services sécurisés, leurs mots de passe et leur activité sur le réseau. Malgré tout, un attaquant pourrait gagner compte de service informations d’identification à l’aide d’autres méthodes ou outils. 

Comment pouvez-vous protéger les comptes de service ?

Les organisations doivent mettre en œuvre des méthodes de protection proactives basées sur des contrôles de sécurité adaptés aux comptes de service à grande échelle. 

Lors du choix d'une solution de gestion et de protection des comptes de service, les fonctionnalités suivantes doivent être prises en compte :  

  • Visibilité totale – Vous devriez pouvoir cartographier tous vos comptes de service en fonction de leur comportement réel sur le réseau. Cela permettra aux administrateurs de les identifier automatiquement – ​​même ceux dont vous ignoriez l'existence – et de fournir une visibilité complète sur leurs modèles de comportement.  
  • Analyse du comportement- Vous devriez être capable d'analyser leurs dépendances et leurs répétitivités. protocoles d'authentification activités au sein du domaine, ainsi que de synchroniser avec votre CMDB pour enrichir les connaissances.  
  • Protection proactive- Plus important encore, vous devriez être en mesure de créer des politiques pour placer une « clôture virtuelle » autour de vos comptes de service à grande échelle, de sorte que même un compte de service compromis ne puisse pas se déplacer latéralement au sein du réseau. Il est important de lui permettre de faire uniquement ce qu'il est censé faire pour sa fonctionnalité. Par exemple, un compte de service de base de données ne doit être utilisé que pour s'authentifier auprès des serveurs d'applications DB.

De la détection à la protection : améliorer la sécurité des identités 

Une stratégie de sécurité des identités axée sur la protection est l’approche recommandée pour garantir la sécurité de vos utilisateurs et de vos comptes de service contre les acteurs malveillants. La mise en œuvre d’une MFA forte (telle que des méthodes de correspondance de numéros ou de résistance au phishing comme FIDO2) pour que les comptes humains puissent accéder même à des interfaces traditionnellement « non protégées » améliorera considérablement la sécurité. Pour les comptes de service, les techniques de clôture virtuelle offrent une protection robuste à grande échelle en contrôlant et en surveillant étroitement les activités de machine à machine. 

L’essentiel est que vous devriez vous concentrer davantage sur les contrôles de sécurité protecteurs et pas uniquement sur les alertes de détection rétrospectives. Pour apprendre comment Silverfort peut vous aider à vous concentrer sur la protection et à répondre à vos besoins en matière de sécurité de votre identité, demandez une démo ici : https://www.silverfort.com/request-a-demo-fr 

Arrêtez les menaces sur l'identité