Bonnes pratiques pour la réinitialisation des mots de passe

Si votre organisation dispose d’un centre de service ou de personnel chargé de réinitialiser les mots de passe, gardez à l’esprit que les tickets de réinitialisation de mot de passe constituent une opportunité pour les pirates. Lorsqu’un collaborateur, un fournisseur ou un client oublie son mot de passe, son compte est vulnérable. Les processus de votre centre de service peuvent créer une plus grande vulnérabilité si vous ne suivez pas les bonnes pratiques en matière de gestion des mots de passe et, en fin de compte, celles de gestion des accès et des identités. Donc, n’ouvrez pas la porte aux pirates. Assurez-vous que votre centre de service et ses processus de réinitialisation des mots de passe sont sécurisés.

Tout d’abord, assurez-vous que votre centre de service est sécurisé. Les centres de service sont souvent la cible d’attaques. Veillez donc à mettre de l’ordre dans votre sécurité. Cela signifie des machines sécurisées, des formations à la sécurité, et des processus conformes aux normes du NIST.

Ensuite, lorsqu’un utilisateur appelle ou envoie un e-mail pour indiquer qu’il a oublié son mot de passe, commencez par vérifier son identité, c’est-à-dire, qu’il s’agit bien du propriétaire du compte. Veillez également à ce que votre processus de vérification soit difficile à infiltrer par les pirates. Cela signifie qu’il ne faut pas utiliser les questions de sécurité courantes. Les questions classiques, comme le nom de jeune fille de la mère, le nom du lycée fréquenté ou la date d’embauche du collaborateur, sont des informations facilement trouvables en ligne par des cybercriminels.

Dans l’idéal, utilisez l’authentification multifacteur (MFA) pour vérifier les utilisateurs. Pour une gestion efficace des identités et des accès, il est préférable d’opter pour une authentification MFA qui nécessite soit une carte-clé, soit de répondre à un e-mail ou un message, autrement dit avec l’appareil en main. Si ce n’est pas possible, posez une série de questions qui s’appuient sur des informations personnelles difficiles à trouver pour un pirate.

Certains centres de service répondent aux demandes de réinitialisation de mot de passe en fournissant un mot de passe temporaire. Ce n’est pas l’approche privilégiée, car elle implique qu’au moins deux personnes connaissent le mot de passe et qu’il faut transmettre un mot de passe temporaire, ce qui ouvre une possibilité d’infiltration.

Si vous devez utiliser cette approche, suivez ces consignes :

• Utilisez toujours un mot de passe unique pour chaque utilisateur. N’utilisez pas le même mot de passe temporaire pour tout le monde, ce qui signifierait qu’une seule erreur ouvrirait la porte à plusieurs comptes.
• Utilisez des mots de passe longs, idéalement de seize caractères ou plus.
• Générez les mots de passe de manière aléatoire. Ils doivent être composés de caractères aléatoires, et non de mots ni d’éléments prévisibles comme DateEmbaucheNom.
• Utilisez un mélange de majuscules, de minuscules, de chiffres et de caractères spéciaux. Évitez les substitutions évidentes et courantes comme le zéro pour la lettre O ou le trois pour la lettre E.

Si vous envoyez un mot de passe temporaire, vous devez pouvoir vérifier que l’utilisateur a modifié son mot de passe à partir du mot de passe temporaire que vous lui avez fourni. Vos exigences en matière de mot de passe doivent garantir que le nouveau mot de passe choisi par l’utilisateur est également un mot de passe fort.

Si vous répondez aux demandes par e-mail, vous devez toujours mettre en place un processus de vérification pour vous assurer que la demande de réinitialisation ne provient pas d’un pirate. Par précaution, veillez à séparément envoyer un e-mail à l’utilisateur ou à l’informer d’une demande de réinitialisation de mot de passe et/ou du fait que le mot de passe a été réinitialisé. Prévoyez également un moyen pour la personne de contacter votre centre de service si elle n’a pas demandé cette réinitialisation, afin que vous puissiez déjouer toute attaque.

Dans votre e-mail de réponse, n’envoyez jamais le nouveau mot de passe ou le mot de passe temporaire. N’envoyez même pas le nom d’utilisateur du titulaire du compte dans l’e-mail. Sinon, vous donnerez aux pirates la possibilité d’intercepter l’e-mail et d’obtenir la moitié des informations d’identification. Idéalement, vous devez envoyer un lien de réinitialisation de mot de passe afin qu’aucun mot de passe temporaire ne soit nécessaire et que l’utilisateur puisse réinitialiser son propre mot de passe. Quand vous l’envoyez :

• Assurez-vous que votre e-mail ne ressemble pas à une tentative d’hameçonnage. L’orthographe doit être correcte, et l’e-mail doit avoir une mise en forme professionnelle.
• Fixez une date d’expiration au lien de réinitialisation, et définissez-le comme un lien à usage unique. Vous fermez ainsi une autre porte potentielle aux cybercriminels.
• Veillez à indiquer comment l’utilisateur peut contacter le support pour obtenir de l’aide ou s’il n’est pas à l’origine de la demande de réinitialisation.

Pour le lien de réinitialisation lui-même, veillez à ce que la page de redirection ou de remerciement qui s’ouvre après la réinitialisation ne fournisse aucune information sur l’utilisateur ou les types de comptes qu’il possède. Par exemple, ne redirigez pas vers une page de connexion à un compte d’administrateur ou de portefeuille, ce qui révélerait aux pirates potentiels des informations sur les privilèges de la personne ou sur ce qu’elle possède.

Enfin, la réinitialisation doit être l’occasion de sensibiliser les collaborateurs et les clients. Plus les collaborateurs comprennent et s’efforcent d’améliorer la sécurité, plus vous êtes en sécurité. Assurez-vous qu’ils savent pourquoi il est important d’avoir des mots de passe forts, même s’ils sont plus difficiles à retenir, et ce qu’ils risquent en cas de violation de leur compte.

Si vous effectuez encore des réinitialisations manuelles de mots de passe, vous savez que c’est un processus coûteux. Aujourd’hui, il existe de nombreux outils qui facilitent la réinitialisation des mots de passe. Les meilleurs libèrent totalement l’équipe informatique ou le centre de service du processus de réinitialisation des mots de passe, en permettant aux utilisateurs de réinitialiser automatiquement leur mot de passe. Les outils de réinitialisation automatique des mots de passe peuvent toujours exiger l’authentification multifacteur et la création de mots de passe forts, mais ils suppriment les délais qui sont source de frustration pour les utilisateurs ainsi que bon nombre des vulnérabilités inhérentes à un processus manuel.