Partager via


Gestion des mots de passe

Actuellement, les informations d’identification de nom d’utilisateur et de mot de passe sont les informations d’identification les plus courantes utilisées pour l’authentification. Même si d’autres types d’informations d’identification, tels que les certificats et la biométrie, commencent à trouver leur chemin dans le monde des systèmes et des réseaux, ils sont souvent sauvegardés par des mots de passe. Et même lorsque les certificats sont utilisés, leurs clés de chiffrement doivent être protégées. Ainsi, les noms d’utilisateur et les mots de passe continueront d’être utilisés pour les informations d’identification dans un avenir prévisible.

Étant donné que les mots de passe et les clés de chiffrement vont être autour d’un certain temps, il est important que les systèmes logiciels les utilisent de manière sécurisée. Si un réseau ou un système informatique doit rester sécurisé, les mots de passe doivent être protégés contre les intrus de type « intrus ». Cela pourrait, au début, sembler trivial. Toutefois, le système après le système et le réseau après le réseau ont été compromis, car un attaquant a pu détecter les mots de passe des utilisateurs. Les problèmes vont des utilisateurs partageant leurs mots de passe avec quelqu’un, aux logiciels qui peuvent être pénétrés par un attaquant.

Il est impossible de stocker des informations secrètes dans des logiciels d’une manière complètement sécurisée. Et comme le stockage des mots de passe et des clés de chiffrement dans un système logiciel ne peut jamais être complètement sécurisé, il est recommandé de ne pas les stocker dans un système logiciel.

Toutefois, lorsque les mots de passe doivent être stockés dans un système logiciel, ce qui est généralement le cas, il existe des précautions qui peuvent être prises. La précaution principale est de rendre le plus difficile possible pour un intrus de découvrir un mot de passe. Tout comme verrouiller vos portes de maison, si quelqu’un est déterminé à se briser, il est presque impossible de les empêcher de le faire. Mais j’espère que vous aurez élevé le niveau de difficulté suffisamment que l’intrus serait plutôt trouver plus facile proie.

Il existe de nombreuses façons de rendre le travail d’un attaquant de découvrir les mots de passe plus difficiles. Toutefois, l’étendue de ce qui peut réellement être fait est généralement un compromis avec ce que les utilisateurs du réseau ou du système sont prêts à vivre avec. Par exemple, prenons le cas où l’authentification unique n’est pas utilisée et que l’utilisateur est invité à entrer un mot de passe chaque fois qu’une application est démarrée. Dans la plupart des cas, cela créerait un fardeau important pour les utilisateurs, et ils se plaindraient probablement. Non seulement cela, mais le manque d’authentification unique est inefficace et dégraderait la productivité des utilisateurs. Par conséquent, pratiquement, un mot de passe n’est généralement pas collecté auprès d’un utilisateur, sauf au moment de la connexion.

Étant donné que les mots de passe doivent généralement être stockés sur le système logiciel, il devient important de s’assurer que les mots de passe sont maintenus aussi sécurisés que possible et que la commodité pour les utilisateurs est maintenue. Pour plus d'informations, voir les rubriques suivantes :

Notes

Lorsque vous avez terminé d’utiliser des mots de passe dans les applications, effacez les informations sensibles de la mémoire en appelant la fonction SecureZeroMemory .