IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

18 % des professionnels IT utilisent du papier pour gérer l'accès aux comptes privilégiés dont ils sont responsables
Indique One Identity

Le , par Olivier Famien

163PARTAGES

4  0 
Lorsque vous êtes chargé de la gestion de l’accès aux comptes administratifs ou privilégiés au sein d’une entreprise, plusieurs méthodes sont offertes pour mener à bien cette mission. One Identity qui est une entreprise qui propose aux particuliers et aux entreprises un ensemble de solutions pour gérer efficacement les mots de passe de divers types de comptes au sein d’un réseau a souhaité savoir quelles sont les difficultés rencontrées dans la gestion de l’accès d’identité et des comptes privilégiés.

Pour ce faire One Identity a ordonné un sondage qui a été mené par l’entreprise Dimensional Research auprès de 913 professionnels IT ayant des responsabilités dans la sécurité ainsi que dans la gestion de bases de données. Après avoir analysé les différentes réponses fournies par les personnes interrogées, One Identity rapporte que 36 % des professionnels IT interrogés utilisent le tableur Excel pour gérer les comptes d’administrateur et d’autres comptes privilégiés. Si cela vous étonne, alors sachez que vous êtes encore loin du compte, car environ 18 % des personnes interrogées avouent qu’elles utilisent des notes écrites sur du papier pour gérer ces mêmes types de comptes dotés de privilèges élevés.

Parmi les personnes qui utilisent du papier pour assurer le suivi des comptes privilégiés, nous avons 26 % des professionnels provenant de l’Allemagne, 23 % proviennent du Royaume-Uni, 22 % sont de Singapour, 18 % de Hong Kong, 18 % de la France et 17 % d’Australie.

Pour ce qui concerne l’usage d’Excel et des feuilles de calcul pour gérer ces comptes, nous avons 40 % des professionnels venant des États-Unis qui utilisent ce moyen pour gérer les comptes privilégiés dans les entreprises. 40 % proviennent de l’Allemagne et 38 % de la France. 34 % des professionnels faisant usage de cette pratique proviennent de l’Australie et de Singapour.

Une chose rassurante au moins, c’est que ce même sondage révèle que plus de la moitié des professionnels (54 %) utilise des coffres-forts numériques pour gérer l’accès à ces comptes privilégiés.

En dehors de ce problème, le rapport révèle que 35 % des personnes interrogées utilisent deux outils pour gérer les comptes administratifs et d’autres comptes privilégiés, là où 19 % en utilisent trois et 13 % font usage de quatre ou plus d’outils. À l’opposé des personnes utilisant plusieurs outils pour gérer les comptes privilégiés, nous avons 30 % des professionnels interrogés qui utilisent un seul outil et 3 % qui n’utilisent aucun outil.

À côté de ce volet, One Identity indique également que 95 % des professionnels surveillent l’accès à ces comptes administratifs et privilégiés tandis que 5 % des professionnels ne surveillent pas du tout les accès à ces comptes.

Pour ce qui concerne la fréquence de changement des mots de passe liés à des privilèges élevés, 14 % des personnes interrogées affirment qu’elles le font après chaque utilisation du mot de passe sur le compte en question. 53 % des personnes interrogées procèdent au changement de mots de passe tous les 30 à 60 jours et 22 % le font moins fréquemment. 9 % ne changent les mots de passe qu’en cas de problème de sécurité rapporté et 2 % ne changent jamais les mots de passe.

Selon John Milburn, président directeur général de One Identity, « ;lorsqu’une entreprise n’implémente pas les processus de base de sécurité et de gestion des comptes privilégiés, elle s’expose à un risque important. De plus, les failles liées à des comptes privilégiés piratés ont conduit à des coûts d’atténuation astronomiques, ainsi qu’à un vol de données et des marques ternies ;». Il ajoute que « ;ces résultats d’enquête indiquent qu’il y a un pourcentage d’entreprises qui n’ont pas de procédures appropriées en place. Il est crucial pour les organisations de mettre en œuvre les meilleures pratiques en matière de gestion des accès privilégiés sans créer de nouveaux obstacles au travail à accomplir. ;»

Source: Rapport One Identity (PDF), Market Wired

Et vous ?

Gérez-vous des comptes administratifs ou des comptes privilégiés ;?

Comment faites-vous pour gérer l’accès à ces comptes privilégiés ;? Utilisez-vous du papier ou des outils dédiés ;? Combien d’outils utilisez-vous ;?

À quelle fréquence changez-vous les mots de passe des comptes privilégiés que vous utilisez ;?

Voir aussi

40 % des entreprises sauvegardent les mots de passe administrateur dans un document Word, d'après une étude
Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ?
59 % des consommateurs américains réutilisent leurs mots de passe sur la toile, selon Password Boss, et 43 % préfèrent les noter sur du papier

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Neckara
Inactif https://www.developpez.com
Le 09/11/2017 à 11:24
Citation Envoyé par RyzenOC Voir le message
J'ai plus confiance dans mes collègues que dans un gestionnaire de mots de passe.
Et le jour où tu as un collègue malhonnête... tu es fichu.

Les personnes malhonnêtes ne se baladent pas avec un post-it "je suis malhonnête" sur la tête. Et c'est justement parce que les personnes malhonnêtes paraissent honnêtes qu'elles peuvent abuser de la confiance qu'on place en eux.

Citation Envoyé par RyzenOC Voir le message
La papier n'a aucune faille de sécurité
Difficile d'avoir des failles de sécurités quand on n'a aucune sécurité.

Citation Envoyé par RyzenOC Voir le message
Cela fais des années que les pc portables ou des smartphones haut de gamme sont posé sur le bureau pendant la pose déjeuner y'a jamais eu de vol de la part d'un salarié.
Les vols de données sont peut-être plus intéressantes et plus discrètes...

Citation Envoyé par fenkys Voir le message
Une consultation indésirée est facile à vérifier.
Ah ? Ton cahier conserve un historique de ses accès ?

Citation Envoyé par fenkys Voir le message
On peut même chiffrer son contenu.
Bon courage pour faire les calculs à la main avec une clé de 128bits

Citation Envoyé par fenkys Voir le message
En utilisant un gestionnaire de mot de passe, tu dois faire confiance à toute la chaîne : fabriquants du PC, de l'OS, du logiciel de gestion, du réseau internet. Peut on garantir que dans cet chaîne tous sont honnêtes, fiables et sécurisés ?
Et ton mot de passe, tu ne le saisis jamais sur l'ordinateur ?

Citation Envoyé par altga Voir le message
En revanche je note qu'une partie du mot de passe, le reste est composé d'un "mot de passe maître" commun à tous. Ce qui limite la casse en théorie si je me fais voler.
Il suffit de connaître un de tes mots de passes, e.g. via fishing, ou un site malhonnête et l'astuce se dévoile très facilement. Les mots de passes ne semblent d'ailleurs ne pas être très solides, casser les autres mots de passes à partir d'un mot de passe connu ne semble pas difficile.

De même, même sans connaître de mots de passes, juste avec le cahier, on peut avec un peu de chance en casser quelques uns par brute force.

Vous êtes tous sérieux ou certains d'entre vous sont en train de troller ? Vous avez un jour d'avance.
3  1 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 10/11/2017 à 17:16
Citation Envoyé par altga Voir le message
...
Exemple :
pattern : [motDePasseMaitre][nomDeDomaine][motsRandom]

[motDePasseMaitre] : il est le même pour tous les mots de passe.
[nomDeDomaine] : permet d'être sûr de ne pas avoir la même signature dans les bases de données lors du hash du mot de passe.
[motsRandom] : histoire de rajouter de la longueur en cas de brut force ...
Neckara a tout à fait raison.
[nomDeDomaine] ne participe pas à la solidité de ton mot de passe, vu qu'il est facilement déductible.
Il ne reste donc que [motDePasseMaitre][motsRandom]
Or [motDePasseMaitre] est identique partout. Cela diminue donc l'entropie de ton mdp.
C'est comme cela que la machine Enigma des Allemands en 40/45 a été cassée : les messages en clair se terminaient toujours par les mêmes mots.
Ici c'est ton mdp qui commence toujours par [motDePasseMaitre], c'est une faiblesse.
2  0 
Avatar de Chauve souris
Membre expert https://www.developpez.com
Le 11/11/2017 à 12:40
Citation Envoyé par Namica Voir le message
Il peut être photographié avec n'importe quel smartphone...
On part du principe est que le hacker est extérieur et accède juste au système. Si on est dans un environnement physique où des espions peuvent être infiltrés on a
- un 9mm chargé dans son tiroir
- son carnet de mots de passe dans sa veste et non sous le moniteur.
2  0 
Avatar de Chauve souris
Membre expert https://www.developpez.com
Le 11/11/2017 à 12:51
Citation Envoyé par MikeRowSoft Voir le message
Une version papier imprimé depuis un fichier texte et le fichiers texte dans une clé USB. Les deux sont pas au même endroit et je ne les portes jamais sur moi.
Avant la clé USB, j'utilisais un CD-RW.
Reste plus que la vidéo du testament...
La clé USB est le genre de truc sur lequel des virus spécialisés se jettent dessus (ils sont à l'affut dans les cybers, en particulier)
La clé USB s'introduit sur un PC et c'est là où c'est le cheval de Troie inverse.
Le password sur un papier n'est transmis que par tes doigts (certes il y a des virus scruteurs de frappes clavier mais c'est un cas limite et un bon antivirus à jour les aura éliminé)

Nota : j'appelle un "bon antivirus" quelque chose qui ne pousse pas des cris parce qu'il a vu un keygen ou un patch de crack parfaitement innocent tout en ne voyant pas les vrais virus, DarkComet RAT, par exemple. C'est le cas d'Avira qui passe son temps à me bloquer mon PC avec des scans incessants. Le seul à la hauteur et qui n'est pas aussi invasif est Malewarebytes antimalwares.
2  0 
Avatar de Chauve souris
Membre expert https://www.developpez.com
Le 09/11/2017 à 5:14
Surtout pas "d'outils dédiés" qui communiqueraient tout ça à la NSA. Non, j'utilise un bête petit cahier spirale où tout est noté, pas seulement le password et qui est juste sous le moniteur. Comme il ne quitte jamais cette place je suis sûr de le retrouver.
Sinon j'ai un password passe-partout que j'utilise sur des sites marchands car il n'y a rien de confidentiel dans les commandes que j'ai passées et ma carte VISA m'est demandée à chaque fois.
1  0 
Avatar de forthx
Membre éprouvé https://www.developpez.com
Le 09/11/2017 à 9:42
C'est bien le papier, ça résiste a toutes les attaques numériques !
1  0 
Avatar de fenkys
Membre éprouvé https://www.developpez.com
Le 09/11/2017 à 9:50
Le cahier n'est pas piratable à distance, ni effaçable. Une consultation indésirée est facile à vérifier. On peut même chiffrer son contenu. Et il n'y aucun bug dans son fonctionnement. Le seul problème qui peut se poser à son utilisation se situe entre la chaise et le clavier.
En utilisant un gestionnaire de mot de passe, tu dois faire confiance à toute la chaîne : fabriquants du PC, de l'OS, du logiciel de gestion, du réseau internet. Peut on garantir que dans cet chaîne tous sont honnêtes, fiables et sécurisés ?
1  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 09/11/2017 à 12:29
Citation Envoyé par altga Voir le message
Grâce au fishing tu vas connaitre mon mot de passe maître mais tu ne sera toujours pas en possession du carnet de note ... et donc du reste des mots de passe.
Pas besoin de connaître le reste des mots de passes.

La partie "nom de domaine" se déduit presque instantanément. La partie "mots random" s'attaque par simple brute force.
Le mot de passe entier ne devant pas être trop long (sinon trop enquiquinant à taper), la partie "mots random" sera très certainement faible.

Une fois qu'on connaît la méthode de construction du mot de passe, ou qu'on a quelques à priori sur sa construction, on peut utiliser des heuristiques pour la brute force. En ce rien ne vaut un vrai mot de passe généré aléatoirement, et donc utiliser un gestionnaire de mot de passe.

Là où un gestionnaire de mot de passe est l'étape de trop.
Il ne faut pas exagérer, au pire du pire, on peut choisir "se rappeler du mot de passe" dans le navigateur et lui donner un mot de passe maître.
C'est toujours mieux que de laisser son carnet de mot de passes à côté de l'ordinateur...

Mais tu n'as pas non plus l'historique des intrusions sur ton gestionnaire de mot de passe ou même ton pc..
Ce n'est pas impossible à mettre en place.
Sachant que contrairement à un carnet, le gestionnaire est protégé contre l'intrusion via un mot de passe maître (ou une clé).

Un tableur Excel est pour moi la pire des méthodes.. contrairement à l'article qui semble classer la papier après.
Je ne sais pas si c'est pire ou non, mais en effet utiliser un tableur Excel est ridicule, quitte à stocker les mots de passes sur ordinateur, autant utiliser un outil adapté.
2  1 
Avatar de
https://www.developpez.com
Le 09/11/2017 à 21:18
Une version papier imprimé depuis un fichier texte et le fichiers texte dans une clé USB. Les deux sont pas au même endroit et je ne les portes jamais sur moi.
Avant la clé USB, j'utilisais un CD-RW.
Reste plus que la vidéo du testament...
1  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 10/11/2017 à 17:06
Citation Envoyé par forthx Voir le message
C'est bien le papier, ça résiste a toutes les attaques numériques !
Il peut être photographié avec n'importe quel smartphone...
2  1