Un regard approfondi sur les attaques par mot de passe et comment les arrêter

Qu'est-ce qu'une attaque par mot de passe ?

En termes simples, une définition d'attaque par mot de passe englobe diverses méthodes que les acteurs malveillants tentent de percer un système ou un compte en compromettant les identifiants des utilisateurs. Ces intrusions ciblent souvent les faiblesses des systèmes d'authentification ou profitent de mots de passe facilement prévisibles ou couramment utilisés.

Comme le souligne Gartner, « des utilisateurs non autorisés déploient des logiciels ou d'autres techniques de piratage pour identifier des mots de passe communs et réutilisés qu'ils peuvent exploiter pour accéder à des systèmes, des données ou des actifs confidentiels. » Norton définit une attaque par mot de passe comme « une méthode de cyberattaque où un attaquant tente d'obtenir un accès non autorisé à un système en craquant ou en devinant le mot de passe d'un compte utilisateur »

Pourquoi les attaques par mot de passe sont une menace croissante

Les données de Microsoft Entra montrent que les tentatives d'attaques par mot de passe ont augmenté pour atteindre en moyenne 4 000 par seconde. Les mots de passe servent trop souvent de seule ligne de défense protégeant les comptes en ligne critiques et les comptes compromis. La compromission de cette unique ligne de défense peut conduire à des gains financiers importants, au vol d'identité ou à l'accès à des informations sensibles. En plus de l'attrait du gain, la fréquence des attaques par mot de passe continue également d'augmenter pour d'autres raisons :

• Le grand nombre de services en ligne nécessitant des mots de passe
• Les gens continuent de réutiliser les mêmes mots de passe pour plusieurs comptes.
• La prolifération des outils de craquage de mots de passe et l'augmentation du nombre de bases de données d'identifiants divulguées sur le dark web ont abaissé la barrière d'entrée pour les attaquants novices
• Des cybercriminels expérimentés utilisent des outils avancés et des techniques alimentées par l'IA pour le craquage de mots de passe et le hameçonnage

Comprendre les vulnérabilités des mots de passe

Faiblesses courantes dans la sécurité des mots de passe

Malgré les efforts d'éducation sur les mots de passe, la vérité est que l'élément humain reste un point faible significatif dans la sécurité des mots de passe. Trop d'utilisateurs continuent d'utiliser des mots de passe facilement devinables ou réutilisent le même mot de passe sur plusieurs comptes. En même temps, il existe encore des organisations qui n'imposent pas de politiques de mots de passe strictes ou qui continuent de permettre l'utilisation de mots de passe par défaut ou communs sur les appareils. Par exemple, les systèmes sans politiques de verrouillage appropriées ou sans limitation de la fréquence des tentatives de connexion sont vulnérables aux attaques de devinettes automatisées. Les autres faiblesses incluent les procédures de réinitialisation de mot de passe non sécurisées qui reposent sur des questions de sécurité facilement devinables, ainsi que l'absence d'authentification multifactorielle pour renforcer la sécurité des mots de passe.

Contenu connexe sélectionné :

• Comment prévenir les cyberattaques : Stratégies et meilleures pratiques

Comment les pirates exploitent les mots de passe faibles

Le concept derrière une attaque par mot de passe est simple. Avec suffisamment de temps, un attaquant peut simplement essayer toutes les combinaisons de mots de passe jusqu'à ce qu'un mot de passe correct soit trouvé. Plus le mot de passe est simple, plus ce processus peut être rapide. Parfois, cela peut être aussi simple que de deviner un ensemble de mots de passe couramment utilisés pour cibler les cibles faciles. Certaines des méthodologies d'attaque populaires utilisées par les attaquants aujourd'hui incluent les attaques par force brute, le bourrage d'identifiants et le bombardement de mots de passe.

Alors que certains utilisateurs peuvent penser qu'ils sont « astucieux » en remplaçant des chiffres ou des caractères par des lettres comme « p@ssW0rd » tout en randomisant les minuscules et majuscules, cette pratique est bien connue des hackers. Les hackers n'ont pas toujours à deviner les mots de passe non plus. Ils peuvent acheter ou échanger des bases de données de mots de passe sur le dark web ou installer des logiciels malveillants d'enregistrement de frappe sur l'ordinateur d'une victime pour enregistrer les frappes et capturer leurs saisies de mot de passe. L'une de ces sources, appelée rockyou.txt, est utilisée dans des kits d'outils de piratage et contient environ 13 millions de variations de mots de passe, y compris l'exemple ci-dessus.

Statistiques sur les violations liées aux mots de passe

Un fournisseur de solutions de gestion de mots de passe de premier plan rapporte que l'employé moyen saisit un mot de passe pour l'authentification sur les sites Web et applications 154 fois chaque mois. Avec une telle dépendance aux mots de passe, on pourrait penser que la sécurité des mots de passe serait plus robuste. Malheureusement, les statistiques dressent un tableau différent.

• En 2022, il y avait 24+ milliards d'identifiants en circulation sur le Dark Web. Les mauvais mots de passe peuvent être identifiés comme la raison de presque 81% des violations de données d'entreprise.
• 41 % des personnes ont admis réutiliser des mots de passe sur plusieurs comptes.
• Les entreprises perdent 480 dollars de productivité par employé et par an à cause du temps passé à gérer les problèmes de mots de passe
• 65% plus de mots de passe ont été compromis en 2022 par rapport à 2020

Peut-être la statistique la plus alarmante est celle-ci. Malgré tous les risques connus des vulnérabilités des mots de passe, le mot de passe le plus populaire en 2023 était « 123456 ».

Types d'attaques par mot de passe

Comprendre les types d'attaques par mot de passe est essentiel pour construire des défenses efficaces, car chaque type nécessite des stratégies de prévention uniques.

Attaque par force brute

Une attaque par force brute exploite des mots de passe faibles à l'aide d'outils automatisés. Ici, un attaquant essaie systématiquement toutes les combinaisons de mots de passe possibles jusqu'à ce que la bonne soit trouvée. Cela est réalisé à l'aide d'outils automatisés. Les mesures de prévention sont tout aussi simples pour cette attaque.

• Utilisez des mots de passe forts et complexes qui sont difficiles à deviner et uniques pour chaque compte.
• Appliquez des politiques de verrouillage de compte qui se déclenchent après un nombre spécifié de tentatives de connexion échouées.
• Mettez en œuvre une authentification multi-facteurs (MFA) pour une vérification supplémentaire
• Bloquez les adresses IP qui présentent une activité de connexion suspecte

Attaque par dictionnaire

Contrairement à une attaque par force brute qui tente toutes les combinaisons de mots de passe possibles, une attaque par dictionnaire utilise une liste prédéfinie de mots, expressions ou combinaisons de caractères courants répertoriés dans un dictionnaire ou une liste de mots. Les attaques par dictionnaire sont plus efficaces, consomment moins de ressources informatiques et peuvent être personnalisées

Vous pouvez prévenir ces attaques en utilisant des mesures telles que :

• Utilisez un mot de passe d'au moins 12 caractères qui utilise une combinaison de lettres majuscules et minuscules, de chiffres et de symboles
• Surveillez les tentatives de connexion échouées ou les schémas d'accès inhabituels et configurez des alertes pour les comptes potentiellement compromis
• Intégrez une solution MFA pour exiger une forme supplémentaire de vérification
• Verrouillez les comptes après un certain nombre de tentatives de connexion échouées pour ralentir les tentatives de connexion répétées
• Si vous n'êtes pas sûr qu'un mot de passe actuellement utilisé soit déjà répertorié dans des dictionnaires, vérifiez-le avec des services de confiance et réputés comme https://haveibeenpwned.com/Passwords

Attaques de phishing

Le phishing reste l'un des principaux mécanismes de livraison pour de nombreux types de cyberattaques, y compris les attaques par mot de passe. Cela inclut :

• Hameçonnage par courriel: Les attaquants envoient des courriels trompeurs en se faisant passer pour des organisations légitimes afin de convaincre les utilisateurs de cliquer sur un lien intégré menant à une fausse page de connexion pour capturer les mots de passe saisis ou des pièces jointes contenant des logiciels malveillants pour voler les mots de passe stockés.
• Hameçonnage par SMS: Ce sont des messages texte frauduleux envoyés sur des appareils mobiles qui prétendent provenir d'institutions financières ou d'autres entités de confiance. Le message inclut généralement une URL raccourcie menant à un site d'hameçonnage.
• Hameçonnage vocal ou Vishing: Les attaquants utilisent des appels téléphoniques pour manipuler les victimes afin de leur soutirer des mots de passe en se faisant passer pour le support informatique, des représentants de banque ou des officiels gouvernementaux.

Heureusement, il existe certaines méthodes pour reconnaître les attaques de phishing :

• Lisez tous les messages attentivement et recherchez les légères fautes d'orthographe ou les ajouts aux noms d'entreprises légitimes. Méfiez-vous des salutations génériques telles que « Cher Client » au lieu de votre nom.
• Méfiez-vous des demandes d'informations sensibles car les entreprises légitimes demanderont rarement, voire jamais, par e-mail ou par SMS, des mots de passe, des numéros de compte ou des numéros d'identification personnels.
• Méfiez-vous des messages qui créent un sentiment d'urgence ou qui dépeignent des conséquences graves si vous ne répondez pas rapidement.
• Ne pas ouvrir les pièces jointes que vous n'attendiez pas, même si elles semblent provenir d'une source connue.

Attaque par enregistreur de frappe

Si un attaquant ne veut pas prendre le temps de deviner votre mot de passe, il peut installer un enregistreur de frappe sur votre appareil pour capturer vos frappes et les enregistrer. Il peut ensuite examiner l'enregistrement pour trouver quand vous avez saisi des mots de passe, des numéros de carte de crédit ou d'autres informations sensibles. Certaines des manières de prévenir l'installation de ces enregistreurs de frappe sur vos appareils incluent :

• Installez un programme antivirus ou anti-malware de confiance Évitez de télécharger des logiciels provenant de sources non fiables.
• Évitez de télécharger des logiciels provenant de sources non fiables et méfiez-vous des pièces jointes d'e-mails suspectes
• Utilisez des claviers virtuels lors de la saisie de données sensibles pour contourner l'enregistrement des frappes physiques.
• Effectuez des analyses de sécurité régulières.
• Effectuez régulièrement des analyses complètes du système pour détecter tout logiciel malveillant caché.

Attaque de l'homme du milieu (MitM)

L'idée ici est que l'attaquant capture toutes les données transmises sur un réseau et recherche des mots de passe. Cela peut être fait en utilisant de faux points WIFI qui leur permettent de surveiller le trafic, le spoofing DNS pour rediriger les utilisateurs vers de faux sites Web, ou le détournement de session pour voler les cookies de session et obtenir un accès non autorisé aux comptes sans avoir besoin du mot de passe.

La meilleure façon d'atténuer les risques de MitM est d'imposer un cryptage fort en utilisant HTTPS sur toutes les applications web (et de prêter attention à tout avertissement concernant un certificat 'non fiable' ou incorrect) et les services ainsi que des protocoles sécurisés pour la transmission des données. Des mesures supplémentaires telles que MFA, des politiques de mot de passe robustes et l'exigence de connexions VPN sécurisées lors de la connexion à un WIFI public peuvent également s'avérer très efficaces.

Credential Stuffing

Des listes de noms d'utilisateur et de mots de passe sont en vente sur le dark web. Ces collections d'identifiants ont été saisies lors de violations de données. Comme les utilisateurs continuent de recycler les mêmes mots de passe pour tous leurs comptes, ces listes de justificatifs d'identité compromis peuvent être utilisées dans des attaques de remplissage d'identifiants contre des sites web populaires. L'idée est que si vos identifiants pour un détaillant qui a été compromis auparavant sont connus, les mêmes identifiants pourraient fonctionner sur d'autres détaillants en ligne, des sites de médias sociaux populaires ou de grandes institutions financières.

La manière la plus efficace de se protéger contre le bourrage d'identifiants est d'utiliser des mots de passe uniques pour chaque compte. L'utilisation d'un gestionnaire de mots de passe éliminera le besoin pour les utilisateurs de se souvenir de plusieurs mots de passe en leur permettant de compter sur un seul mot de passe principal. D'autres mécanismes de défense incluent l'utilisation de MFA, des politiques de verrouillage de compte, des solutions de détection de bots et la surveillance du dark web.

Password Spraying

Contrairement aux attaques par force brute traditionnelles et aux attaques par dictionnaire qui consistent à essayer de nombreux mots de passe sur un seul compte, le password spraying vise de nombreux comptes avec seulement quelques mots de passe. Au lieu de parcourir une liste de mots de passe, ils parcourent les noms d'utilisateur connus en utilisant les mots de passe les plus courants.

Pour se protéger contre les attaques par pulvérisation de mots de passe, les organisations peuvent mettre en œuvre plusieurs stratégies de prévention efficaces :

• Exigez que les utilisateurs créent des mots de passe complexes difficiles à deviner et mettez en œuvre des politiques interdisant l'utilisation de mots de passe et de phrases courants.
• Utilisez MFA pour tous les comptes, en exigeant des utilisateurs qu'ils fournissent des méthodes de vérification supplémentaires au-delà d'un simple mot de passe.
• Examinez régulièrement les journaux d'authentification pour détecter des modèles inhabituels, tels qu'un volume élevé de tentatives de connexion échouées sur plusieurs comptes.
• Déployez des solutions de sécurité avancées qui surveillent le comportement des utilisateurs à la recherche de signes de compromission, tels que des tentatives de connexion inhabituelles ou des schémas indiquant une attaque par pulvérisation de mots de passe

Attaque par Rainbow Table

Les tables arc-en-ciel sont des outils spéciaux utilisés par les pirates pour découvrir rapidement quels mots de passe se cachent derrière certains codes cryptés (hachages). Lorsque vous créez un mot de passe, il est transformé en hachage, qui est un code de longueur fixe qui ne ressemble en rien au mot de passe original. Les attaquants tentent de décoder les tables arc-en-ciel en utilisant une variété de techniques pour rétroconcevoir les mots de passe hachés.

Pour protéger contre de telles tentatives de décodage, utilisez des algorithmes de hachage modernes et sécurisés conçus pour être lents et intensifs en calcul. Cela rend beaucoup plus difficile pour les attaquants de générer des tables arc-en-ciel. Puis continuez à vous informer sur les avancées des fonctions de hachage cryptographique et mettez à jour vos systèmes pour utiliser les méthodes les plus sécurisées disponibles.

Contenu connexe sélectionné :

• Comment détecter et prévenir le détournement de session

Attaques de mots de passe en ligne vs. Attaques de mots de passe hors ligne

Qu'est-ce qu'une attaque de mot de passe en ligne ?

Une attaque de mot de passe en ligne implique d'essayer différentes combinaisons de nom d'utilisateur et de mot de passe contre un portail de connexion dans l'espoir de deviner les identifiants corrects. Elles sont généralement lancées contre des individus et des organisations qui peuvent avoir des politiques de mot de passe faibles.

Exemples d'attaques en ligne

De nombreuses attaques par mot de passe décrites dans cet article peuvent être utilisées dans des attaques en ligne. Cela inclut la force brute, le dictionnaire, le bourrage d'identifiants et les enregistreurs de frappe.

Qu'est-ce qu'une attaque par mot de passe hors ligne ?

Une attaque hors ligne par mot de passe est une méthode utilisée par les attaquants pour accéder aux comptes d'utilisateurs en craquant les hachages de mots de passe plutôt que d'essayer de se connecter directement à un système. Ce type d'attaque se produit généralement après qu'un attaquant a déjà obtenu un fichier ou une base de données de mots de passe qui contient des versions hachées des mots de passe des utilisateurs. Le Netwrix Attack Catalog liste ‘Pass the Hash’ comme un exemple éminent.

Comment les attaques hors ligne diffèrent et pourquoi elles sont dangereuses

Ce qui rend les attaques hors ligne particulièrement dangereuses, c'est le fait qu'elles passent souvent inaperçues car elles n'interagissent pas avec le système cible en temps réel. Cela permet aux attaquants d'opérer sans déclencher d'alarmes, rendant ainsi plus difficile pour les équipes de sécurité de détecter et de répondre à la menace. Comme les attaques hors ligne n'impliquent pas de tentatives de connexion répétées contre un système en direct, les mécanismes de verrouillage de compte ne sont pas déclenchés. Cela permet à une attaque de fonctionner sans restrictions.

Prévention des attaques par mot de passe

Les mesures de protection suivantes peuvent aider votre organisation à protéger ses employés contre les attaques par mot de passe.

• Mise en œuvre de politiques de mots de passe robustes: Le simple fait d'appliquer des politiques de mots de passe robustes contribuera grandement à se protéger contre les attaques par mot de passe. Ces politiques devraient exiger des utilisateurs qu'ils créent des mots de passe complexes et uniques d'au moins 12 caractères difficiles à deviner pour les attaquants
• Authentification Multifacteur (MFA): L'MFA exige que les utilisateurs fournissent deux méthodes de vérification ou plus afin qu'un mot de passe compromis seul ne suffise pas à un attaquant pour accéder à un compte utilisateur.
• Utilisation de gestionnaires de mots de passe: Un gestionnaire de mots de passe est une application locale ou basée sur le cloud qui permet aux utilisateurs d'utiliser un mot de passe différent pour chaque compte en ligne. L'application stocke de manière sécurisée ces mots de passe dans un coffre-fort chiffré et remplit automatiquement les informations d'identification lors des tentatives d'authentification.
• Options d'authentification sans mot de passe: Les options d'authentification sans mot de passe protègent contre les attaques par mot de passe en éliminant complètement le besoin de mots de passe, ce qui signifie qu'il n'y a pas de mot de passe à intercepter ou à voler entre les utilisateurs et le système d'authentification. Des exemples incluent un scanner d'empreintes digitales ou la reconnaissance faciale.
• Contrôle d'accès réseau (NAC) et surveillance: Un moyen de contourner les attaques par mot de passe consiste à s'assurer que seuls les appareils autorisés peuvent accéder au réseau. Cela signifie que même si un attaquant dispose des identifiants corrects, il ne peut pas s'authentifier à partir d'un appareil non autorisé. La surveillance continue de l'activité réseau peut identifier et isoler en temps réel les comportements suspects, permettant ainsi aux équipes de sécurité de réagir rapidement aux violations potentielles et d'empêcher les attaquants d'exploiter les vulnérabilités.

Exemples réels d'attaques par mot de passe

Études de cas de violations majeures de données

• En novembre, GoDaddy a signalé une violation de sécurité affectant plus de 1,2 million de clients WordPress. Un attaquant a utilisé un mot de passe compromis pour accéder à l'environnement d'hébergement WordPress géré de GoDaddy, exposant les adresses e-mail des clients, les numéros, certaines clés privées SSL et les mots de passe administrateur WordPress originaux. GoDaddy a depuis réinitialisé les mots de passe et les certificats SSL affectés.
• En 2023, les casinos de Las Vegas MGM Resorts et Caesars Entertainment ont été ciblés par des attaques de rançongiciels qui ont exploité des tactiques d'ingénierie sociale, en particulier le vishing (hameçonnage vocal). Les attaquants se sont fait passer pour des employés afin de tromper le support informatique pour réinitialiser des mots de passe, ce qui leur a permis d'accéder sans autorisation à des systèmes critiques. MGM a subi d'importantes perturbations opérationnelles affectant les cartes-clés d'hôtel et les machines à sous, estimant des pertes d'environ 100 millions de dollars. Caesars a connu une violation de sa base de données de programme de fidélité contenant des informations sensibles sur les clients.
• Fin novembre 2023, un groupe de pirates informatiques parrainé par l'État russe, Midnight Blizzard (Nobelium), a lancé une attaque sophistiquée contre Microsoft en utilisant une technique de pulvérisation de mots de passe. Ils ont compromis un compte de test non-production hérité pour obtenir un accès initial et établir une tête de pont dans les systèmes de Microsoft. Les attaquants ont ensuite accédé à un petit pourcentage de comptes de messagerie d'entreprise, y compris ceux de la haute direction, des équipes de cybersécurité et juridiques pour exfiltrer des informations.

Leçons tirées de ces incidents

Ces études de cas mettent en lumière la vulnérabilité persistante de la sécurité des mots de passe et soulignent le besoin critique de procédures de vérification strictes lors de la réinitialisation des mots de passe et des changements d'accès aux comptes. Étant donné la probabilité de compromission des mots de passe, l'application du principe du moindre privilège pour restreindre les droits d'accès des utilisateurs au strict nécessaire pour effectuer leur travail est une mesure de sécurité de soutien clé. L'équipement hérité continue d'être un véritable problème et une attention vigilante au patching et à la mise à jour est impérative. C'est également là que la réalisation de scans de sécurité réguliers peut identifier vos points faibles tandis que la surveillance continue 24h/24 et 7j/7 permet aux équipes informatiques et de sécurité d'adresser rapidement les événements inhabituels et suspects, formant une approche globale de la cybersécurité.

Contenu connexe sélectionné :

• Un guide pour des politiques de mots de passe sécurisées pour Active Directory

L'avenir de la sécurité des mots de passe

L'évolution des attaques par mot de passe

Les premières attaques par mot de passe impliquaient de simples suppositions et des attaques par dictionnaire, mais elles ont maintenant évolué vers des méthodes automatisées de force brute qui essaient systématiquement toutes les combinaisons. Des algorithmes d'apprentissage automatique avancés sont désormais utilisés par les attaquants pour générer des suppositions de mots de passe plus sophistiquées et probables, améliorant l'efficacité et l'efficacité de leurs attaques. Les cybercriminels ont élargi leurs vecteurs d'attaque pour exploiter les vulnérabilités dans les mécanismes de réinitialisation de mot de passe afin de tirer parti de mesures de sécurité parfois plus faibles dans les processus de récupération de mot de passe. En ce qui concerne l'ingénierie sociale, les cybercriminels continuent de trouver de nouvelles façons de tromper les utilisateurs pour qu'ils révèlent leurs mots de passe.

Technologies émergentes pour la protection des mots de passe

Les technologies émergentes continuent de se concentrer sur les méthodes d'authentification sans mot de passe qui renforcent la sécurité tout en simplifiant également le processus d'authentification pour les utilisateurs. Ces méthodes incluent l'authentification biométrique, les normes FIDO2 et les jetons de sécurité USB, qui exigent des utilisateurs de s'authentifier en utilisant des dispositifs qu'ils possèdent, tels que des clés de sécurité matérielles ou des téléphones mobiles. De plus, les mots de passe à usage unique (OTP) envoyés par SMS ou e-mail offrent une alternative sécurisée et à usage unique qui ne repose pas sur des mots de passe statiques. En adoptant ces approches innovantes, les organisations peuvent réduire considérablement les risques associés aux systèmes traditionnels basés sur des mots de passe tout en améliorant la commodité générale des utilisateurs.

Les mots de passe deviennent-ils obsolètes ?

Il ne fait aucun doute que l'efficacité des mots de passe diminue tant du point de vue du risque que de la gestion. Dans certains cas, les mots de passe sont progressivement remplacés par des alternatives plus sécurisées comme les passkeys, tandis que les méthodes d'authentification biométrique gagnent du terrain. Malgré les avancées réalisées dans ce domaine, les mots de passe resteront largement utilisés en raison de leur familiarité et des nombreux systèmes hérités qui en dépendent encore. Bien que les mots de passe eux-mêmes ne disparaissent pas, la pratique de s'appuyer uniquement sur eux semble toucher à sa fin grâce à la MFA.

Comment Netwrix peut aider

Pour atténuer les risques associés aux attaques par mot de passe, les organisations ont besoin d'outils avancés capables de surveiller, détecter et répondre de manière proactive aux activités suspectes liées aux mots de passe.

Netwrix Password Secure offre une solution robuste pour renforcer la sécurité des mots de passe. Avec des alertes en temps réel, des rapports complets et une interface intuitive, cela permet aux organisations d'identifier et de traiter les vulnérabilités des mots de passe avant qu'elles ne conduisent à une violation. En imposant des politiques de mots de passe strictes et en assurant la conformité avec les normes de l'industrie, Netwrix Password Secure aide les organisations à maintenir une défense résiliente contre les menaces liées aux mots de passe et à sécuriser leurs environnements informatiques.

Conclusion

Les mots de passe représentent un véritable défi aujourd'hui et méritent l'attention de toute organisation numérique. Vous devriez supposer que quelqu'un, quelque part, essaie de compromettre vos comptes en ligne en utilisant une forme d'attaque par mot de passe. Ce type d'attaques est lancé contre des organisations tous les jours.

La bonne nouvelle est que de nombreuses étapes de prévention sont assez simples pour que la plupart des organisations puissent les mettre en œuvre. Cela exige également que les utilisateurs prennent leurs responsabilités en matière d'hygiène des mots de passe et surveillent leurs comptes. pour reconnaître que les méthodes de prévention actuelles peuvent ne pas protéger efficacement contre les attaques évolutives du futur. En fin de compte, plus tôt votre organisation réduira sa dépendance aux mots de passe, plus elle sera sécurisée.