L’authentification par mot de passe
L’authentification par mot de passe est le moyen le plus courant pour contrôler l’accès aux comptes en ligne. Bien que cette méthode soit simple et peu coûteuse à mettre en œuvre, elle offre un niveau de sécurité souvent insuffisant face aux menaces modernes. En effet, plus de 80 % des violations de données mondiales (et 60 % en France) auraient pu être évitée.
Avec l’augmentation des cyberattaques, y compris les tentatives de piratage informatique, il est impératif s’informer sur les bonnes pratiques. Une attaque par force brute est devenue de plus en plus courante, où des programmes tentent systématiquement toutes les combinaisons de lettres et de chiffres et de symboles possibles. Pour se protéger contre ces menaces, un mot de passe difficile à deviner est essentiel.
Les changements clés depuis les recommandations de la CNIL en 2017
Le degré de complexité (l’entropie)
La longueur minimale d’un mot de passe, fixée à 12 caractères, est désormais un minimum, mais elle ne suffit plus. Pour garantir un niveau de sécurité élevé, les mots de passe doivent intégrer une combinaison de lettres majuscules, minuscules, chiffres, et des caractères spéciaux tels que des signes de ponctuation. Cette complexité empêche les mots de passe d’être facilement devinables et rend les attaques automatisées moins efficaces. En incluant une diversité de combinaisons de lettres et de chiffres et de symboles, on améliore considérablement la résistance aux tentatives de piratage.
L’abandon des questions secrètes
Les questions secrètes ont été largement utilisées pour la réinitialisation des mots de passe. Cependant, ces questions, telles que « Quel est le nom de votre premier animal de compagnie ? » ou « Quelle est votre ville de naissance ? », sont de moins en moins sécurisées. Les informations nécessaires pour répondre à ces questions sont souvent disponibles en ligne ou sur les réseaux sociaux, ce qui les rend vulnérables aux attaques. De plus, les réponses à ces questions peuvent souvent être difficiles à deviner, mais ne sont pas infaillibles.
L’abandon de l’obligation de renouvellement des mots de passe
Les politiques exigeant le changement régulier des mots de passe, souvent jour régulièrement, se sont révélées contre-productives. Les utilisateurs, lassés par la nécessité de changer fréquemment leurs mots de passe, optent pour des mots de passe plus facilement devinables ou réutilisent des mots de passe précédents. Cette mesure est donc abandonnée, mais reste cependant en vigueur pour les comptes de type « Gestionnaire » ou « Administrateur » dans oHRis pour garantir une sécurité accrue.
Comment mettre en œuvre ces nouvelles recommandations dans oHRis ?
oHRis est une solution en ligne permettant notamment de gérer les congés, de distribuer les fiches de paie et de dématérialiser le dossier RH des salariés ; l’élévation du niveau de sécurité concernant la gestion des mots de passe est donc primordiale…
Voici les pratiques recommandées pour optimiser la sécurité de vos comptes en ligne :
- Longueur minimale : définissez la longueur minimale des mots de passe à 12 caractères. Assurez-vous qu’ils incluent une combinaison de lettres majuscules, minuscules, des chiffres et des caractères spéciaux. Cette exigence renforce le niveau de sécurité et rend les mots de passe plus résistants aux tentatives de piratage.
- Temporisation : introduisez une temporisation pour ouvrir l’accès après plusieurs tentatives infructueuses. Cela empêche les attaques par force brute et rend les tentatives de piratage plus difficiles.
- Blocage : configurez le blocage d’un compte après 5 tentatives échouées et mettez en place un mécanisme de déblocage sécurisé. Cette mesure protège contre les tentatives répétées d’accès non autorisé.
Bien que la CNIL ne rende pas l’authentification à deux facteurs obligatoire, elle est fortement recommandée pour protéger les données personnelles. La plateforme oHRis propose cette fonctionnalité, envoyant un code temporaire par email pour vérifier l’identité des utilisateurs. Nous vous conseillons vivement d’activer cette option pour renforcer encore la sécurité de vos comptes.
Pour aller plus loin dans la sécurité
Pour une sécurité accrue, utilisez un gestionnaire de mots de passe pour stocker vos mots de passe en toute sécurité. Évitez de les noter sur un bout de papier, ce qui peut compromettre la sécurité de vos informations personnelles. Un gestionnaire de mots de passe offre également la possibilité de créer et de stocker des mots de passe complexes, augmentant ainsi la sécurité de vos comptes en ligne.
Assurez-vous que vos mots de passe sont régulièrement mis à jour pour éviter qu’ils ne deviennent obsolètes. Utilisez des combinaisons de lettres et de chiffres et de symboles pour créer des mots de passe difficiles à deviner. Cela réduit considérablement le risque de violations de données et protège efficacement vos informations.
Ressources supplémentaires
Pour toute assistance sur le paramétrage de votre politique de sécurité, n’hésitez pas à contacter notre service support.
