Ajout de couches de sécurité avec un mot de passe poivré

Justyna Obara
Rédacteur en cybersécurité
Password pepper

En ce qui concerne la sécurité des mots de passe, plus votre système de sécurité personnel ou professionnel comporte de couches de protection, mieux c’est. Il n’existe pas de service en ligne infaillible ; vous ne savez jamais quelle tactique malveillante les pirates peuvent employer pour accéder à vos comptes. Le poivre pour mot de passe est une autre couche de sécurité supplémentaire qui protège contre les attaques par force brute, attaques par dictionnaire et les rainbow tables. Lisez la suite pour savoir ce qu’est un poivre pour mot de passe, comment il fonctionne et comment il peut améliorer votre cybersécurité.

Qu’est-ce que la notion de « poivre » pour un mot de passe ?

Un mot de passe poivré ou poivrer un mot de passe (comme on dit aussi) est strictement lié au processus de hachage du mot de passe . Les sites Web ne stockent pas les mots de passe des utilisateurs en texte clair, car cela permettrait à quiconque d’y avoir accès de les voir. Dans la plupart des cas, les mots de passe des utilisateurs sont hachés : les algorithmes de chiffrement les convertissent en chaînes de caractères compliquées. Ainsi, même si la base de données d’un site est violée, les pirates doivent déchiffrer les hachages pour s’emparer des informations d’identification des utilisateurs.

Par exemple, un poivre est une valeur secrète (une chaîne aléatoire de caractères) ajoutée à un mot de passe avant le hachage. Contrairement au salage, un autre moyen cryptographique d’ajouter une couche de sécurité supplémentaire à votre mot de passe, le poivre ne change pas. Comme l’ingrédient secret d’un chef, il reste le même dans tous les plats : les comptes en ligne des utilisateurs ou, s’il fait partie du code source, les bases de données des utilisateurs.

Poivrer les mots de passe, comment ça marche ?

Poivrer un mot de passe modifie la valeur qui est hachée, ce qui permet d’obtenir un hachage de mot de passe modifié et plus sûr. Le poivre peut être intégré au code source du site Web ou ajouté manuellement par l’utilisateur privé ou professionnel.

Dans le premier cas, le propriétaire de la plateforme en ligne choisit le poivre et assume la responsabilité de la force et de la sécurité du code. Le même mot de passe est utilisé dans toute la base de données du site : il n’y a pas de mots de passe individuels pour les utilisateurs. À la suite d’une violation de données, le poivre codé en dur peut s’avérer plus problématique qu’il n’en vaut la peine. Si des cybercriminels parviennent à accéder au code source, ils peuvent rapidement découvrir le poivre et compromettre les mots de passe hachés. De plus, dans cette configuration, le changement du poivre compromis nécessite la modification du code source et le redéploiement de l’application, ce qui est assez fastidieux.

Pour les raisons susmentionnées, nous nous concentrerons sur le deuxième scénario : poivrer manuellement les mots de passe. Cela nécessite la mise en place d’un code fort et aléatoire (vous pouvez utiliser notre générateur de mots de passe pour cela), que vous garderez en sécurité, séparément de vos identifiants de connexion. Poivrer vos identifiants de connexion signifie que même si vous utilisez un gestionnaire de mots de passe robuste comme NordPass, vous devrez toujours mémoriser votre code secret ou le conserver dans un autre endroit sûr.

Utilisation du poivrage des mots de passe pour améliorer votre sécurité en ligne

Poivrer vos mots de passe peut protéger vos comptes au cas où vos mots de passe seraient compromis. L’augmentation du nombre de cybercrimes (l’activité criminelle la plus lucrative de nos jours) montre que l’on n’est jamais trop prudent et que l’on n’introduit jamais trop de couches de protection. Aucun fournisseur de services en ligne n’est à l’abri d’une violation, comme LastPass l’a appris à ses dépens à la fin de l’année 2022.

Poivrer vos mots de passe doit être effectué manuellement, ce qui allonge le temps nécessaire pour accéder à vos comptes. Cela peut être agaçant, surtout si vous avez l’habitude d’une connexion fluide, mais cela améliorera sans aucun doute votre sécurité en ligne.

La plupart des gens s’attachent à leurs habitudes et à la commodité, en ayant tendance à abandonner les pratiques de sécurité trop exigeantes. C’est pourquoi nous vous déconseillons de poivrer tous vos mots de passe, mais seulement les plus importants. Voici comment procéder :

  1. Créez un poivre fort et complexe dont vous vous souviendrez.

    Vous pouvez considérer un poivre comme un mot de passe : plus il est long et complexe, mieux c’est. Rendez-le aléatoire et utilisez différents types de symboles. Toutefois, n’exagérez pas ; le meilleur moyen de garder votre poivre en sécurité est de le mémoriser !

  2. Créez votre « mot de passe de base » et stockez-le dans votre gestionnaire de mots de passe.

    Utilisez un générateur de mot de passe pour créer une chaîne complexe de caractères : appelons-le « votre mot de passe de base ». Maintenant, enregistrez-le dans le coffre-fort chiffré de votre gestionnaire de mots de passe.

  3. Poivrez votre mot de passe et mettez à jour les mots de passe de vos comptes les plus importants.

    Une fois que vous avez créé votre mot de passe de base, ajoutez-y le poivre : vous obtenez alors votre nouveau mot de passe. Mettez à jour vos comptes les plus importants en l’utilisant. Désormais, lorsque vous vous connecterez, vous devrez ajouter le poivre à chaque fois pour accéder au compte.

    Note : vous pouvez ajouter le poivre n’importe où dans la chaîne de caractères constituant votre mot de passe de base. Cependant, pour éviter de trop le compliquer, ajoutez-le au début ou à la fin de votre mot de passe de base.

  4. Ne stockez pas votre poivre dans le coffre-fort du gestionnaire de mots de passe.

    L’idée derrière le fait de poivrer vos mots de passe est de ne pas garder tous vos œufs dans le même panier. Il n’est donc pas judicieux de conserver votre code secret dans le coffre-fort de votre gestionnaire de mots de passe. Si vos mots de passe sont divulgués, le poivre l’est aussi. Pour que le mot de passe fonctionne, gardez votre poivre en sécurité ailleurs, de préférence dans votre tête.

Le poivrage des mots de passe d’un point de vue commercial

D’un point de vue commercial, poivrer les mots de passe peut causer des problèmes et n’en vaut souvent pas la peine. Cela peut interrompre la coopération et le partage d’informations au sein des équipes, prolonger le temps consacré à des tâches qui pourraient facilement être automatisées et fausser les résultats des audits de conformité et de sécurité des mots de passe.

Voyons d’autres mesures de sécurité plus adaptées à l’environnement commercial. Contrairement au poivrage des mots de passe, elles favorisent la transparence et permettent de réagir immédiatement aux cybermenaces.

  • Politique de mots de passe

La politique de mots de passe est un ensemble de règles et de lignes directrices pour la création et la gestion des mots de passe dans l’organisation. Elle informe les employés de la longueur de leurs mots de passe, des types de caractères qu’ils doivent inclure et de la fréquence à laquelle ils doivent les modifier. Lorsqu’elles sont appliquées automatiquement par le gestionnaire de mots de passe de l’entreprise, les politiques de mots de passe permettent aux administrateurs de réseaux professionnels de contrôler chaque mot de passe utilisé dans leur entreprise.

  • Qualité des mots de passe

Les indicateurs de qualité des mots de passe permettent de suivre l’évolution des mots de passe vulnérables de votre entreprise. La fonctionnalité NordPass Qualité des mots de passe fournit un aperçu des mots de passe faibles, datant de plus de 90 jours et réutilisés par les employés. Elle permet d’éviter le risque de violation de données lié à des mots de passe faibles au lieu d’atténuer les résultats des attaques de pirates.

  • Analyse des fuites de données

Analyse des fuites de données vous informe en temps réel de toutes les fuites de données liées aux e-mails et aux domaines de votre entreprise. Cela peut vraiment changer la donne, car, d’après le Rapport de sécurité des données 2023 d’IBM, les entreprises mettent 277 jours en moyenne pour identifier et contenir une violation. Si vous réagissez immédiatement à l’incident de sécurité, il y a de fortes chances que les cybercriminels n’aient pas le temps d’utiliser les informations contre votre entreprise.

Tendances en matière de sécurité des mots de passe

Ce sont des années charnières pour la sécurité des mots de passe. Nous assistons à une évolution vers une méthode d’authentification plus facile et plus sûre : clés d’accès. Les clés d’accès permettent d’accéder à vos comptes en ligne de la même manière que vous déverrouillez votre smartphone : par empreinte digitale ou identification faciale. Cette nouvelle technologie associe la vérification biométrique à des clés cryptographiques, réduisant ainsi les risques d’hameçonnage, d’attaques par force brute et d’autres cybermenaces.

Certains des plus grands géants de la technologie, y compris Amazon, Apple, Google, et Meta ont déjà rejoint l’ Alliance FIDO, une association professionnelle créée pour « résoudre le problème mondial des mots de passe ». NordPass fait également partie de FIDO et, avec d’autres membres, promeut activement les clés d’accès et les rend accessibles aux utilisateurs. C’est pourquoi notre gestionnaire de mots de passe vous permet de stocker, d’accéder et de partager vos clés d’accès en toute sécurité.

FAQ

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.