Un endroit où j'ai travaillé avait une méthode très simple en place.

Ils testaient périodiquement les utilisateurs finaux au hasard par le biais de piratage de mot de passe et d'e-mails de phishing.

Quiconque échouait devait à nouveau suivre le cours de sécurité en ligne ...

C'était assez douloureux pour qu'aucune mesure disciplinaire réelle ne soit nécessaire. Le fait de devoir reprendre le cours était suffisant pour les rendre prudents.

Si vous pouvez introduire une politique comme celle-ci, cela fonctionnera, en particulier avec les personnes âgées. Je sais, j'en suis un.

La raison pour laquelle cela fonctionne bien est que cela dérange les gens, mais pas assez pour protester. S'ils se mettent en colère, la réponse est simple. "Il y a eu une faille de sécurité, vous êtes en cours de recyclage, pas de discipline".

Le but est de corriger le comportement, pas de punir.

Ceci est normalement géré en forçant la complexité du mot de passe sur les utilisateurs sans avoir besoin d'un dialogue à ce sujet.

Vous ne voulez pas faire cela, ce qui indique un laxisme de sécurité de votre part. Le service informatique ne doit pas blâmer les utilisateurs d'avoir choisi la voie la plus facile lorsqu'ils ont les moyens de s'y opposer.

Je suggère que si vous prenez vraiment la sécurité au sérieux, vous utiliserez la méthode normale pour l'obtenir dans ce scénario.

Une démonstration peut être la technique la plus efficace. Essayez de leur suggérer de tester leurs mots de passe par rapport à cette base de données de mots de passe volés: https://haveibeenpwned.com/Passwords

Ils peuvent également vérifier leurs adresses e-mail pour voir s'ils ont été volés aussi: https://haveibeenpwned.com/

Avoir un mot de passe dans cette base de données signifie qu'il sera facile de le cracker. Le fait d'avoir à la fois une adresse e-mail et un mot de passe volés signifie qu'il y a une très forte probabilité que les comptes qui les utilisent soient compromis.

Il s'agit d'une directive qui doit venir du haut.

Vous êtes dans une position très difficile d'essayer d'appliquer une politique dans laquelle il va y avoir une tonne de répulsion de la part des utilisateurs finaux.

J'ai rencontré ce problème et ce que j'ai trouvé le plus efficace est d'employer une stratégie qui suscite l'adhésion de la haute direction et que la politique ne soit pas seulement poussée vers le bas, mais aussi les employés font partie de la solution (comme le dit Smokey The Bear, "Vous seul pouvez empêcher les incendies de forêt")

Vous avez déjà mis l'argumentation en un "argumentaire" succinct pour gestion:

• risques et réputation des entreprises
• menaces entrantes existantes
• risques juridiques et responsabilité de l'entreprise

Vous il suffit de le vendre à la direction pour adopter une politique de sécurité avec laquelle vous êtes à l'aise

Pour résoudre les problèmes avec les utilisateurs, tenez compte des points suivants:

• Les «réponses» (alias «la politique») doivent provenir de leur supérieur hiérarchique direct. Vous n'avez pas besoin de renseigner / justifier les décisions de sécurité.

• Cette politique doit être codifiée dans le manuel / manuel de l'employé et la politique d'utilisation acceptable pour votre organisation

• Une FAQ doit être créée à laquelle vous pouvez facilement vous référer et qui répond à leurs questions / préoccupations liées à la question de sécurité; faites un effort supplémentaire pour mettre en évidence des questions / réponses spécifiques et pourquoi «l'ancienne méthode» est obsolète.

• Des mesures de sécurité avancées (en plus de l'authentification par nom d'utilisateur / mot de passe existante) doivent être mises en œuvre, notamment mais sans s'y limiter:

  • l'authentification biométrique
  • l'automatisation des informations d'identification
  • l'authentification à deux facteurs

J'ai dit pendant la majeure partie de ma carrière informatique que la sécurité est une méthodologie, pas un produit. Si les gens n'adhèrent pas (surtout du haut), vous ne réussirez pas. Par conséquent ....

Si votre patron vous a chargé de cela, vous devez avoir une conversation avec votre patron pour monter et vendre la vision / la politique / la méthodologie. Sans cela, vous ne réussirez pas.

[...] nous mettons actuellement en place une nouvelle infrastructure informatique [...]

Excellent. Je dirais que c'est le moment parfait pour inclure une couche d'authentification multifacteur à votre cycle d'authentification.

De cette façon, vous pouvez conserver les politiques de mot de passe dans une limite humaine raisonnable (si vous les faites changer trop souvent, ou si vous créez des mots de passe trop longs ou trop compliqués, cela augmentera l'utilisation des post-it ainsi que le nombre d'appels au support) tout en maintenant l'exposition du compte au minimum.

Utilisez un gestionnaire de mots de passe d'entreprise. Cela fournit une fonctionnalité qui facilite la vie des utilisateurs et encourage l'utilisation de mots de passe conformes à la politique et permet aux responsables / informatique de rendre compte de la conformité.

La plupart des gestionnaires de mots de passe ont un «tableau de bord» qui vérifie les mots de passe réutilisés ou faibles. Cela peut être utilisé pour montrer la conformité et encadrer le personnel qui n'utilise pas de mots de passe forts.

Cela peut et doit être présenté comme une commodité ou une amélioration pour les utilisateurs. Ils sont soulagés du fardeau de se souvenir de tant de mots de passe forts, ils doivent se souvenir d'une phrase de passe forte et posséder un code ou un appareil à deux facteurs.

Il existe également des avantages tertiaires tels que:

• être en mesure de trouver des comptes anciens ou désaffectés à verrouiller
• si un utilisateur quitte l'entreprise son accès peuvent être rapidement réduits en désactivant l'accès au gestionnaire de mots de passe, puis en utilisant le gestionnaire de mots de passe pour verrouiller / supprimer leurs anciens comptes.
• prédéfinir les stratégies de génération de mots de passe pour s'adapter par défaut à la politique de complexité de l'entreprise
• il s'agit d'un outil qui fonctionne maintenant avec les options SSO et MFA modernes ainsi qu'avec les anciennes options héritées. Il complète les efforts de modernisation.

Malheureusement, il y a beaucoup de gens qui continueront à utiliser les mêmes mots de passe simples et il suffirait d'une brèche sérieuse pour leur faire comprendre l'importance de les changer. Du point de vue du contexte, il semble que très peu de choses à court de respecter de nouvelles règles strictes de mot de passe feront changer vos employés. La motivation ne semble pas fonctionner seule. Cependant, vous pouvez essayer certaines choses pour les aider à créer des mots de passe plus sécurisés:

• Dans certaines entreprises, les employés sont obligés de se donner de nouveaux mots de passe tous les X mois. Lors de la création de nouveaux mots de passe, votre système pourrait avoir en place un moyen de juger de la complexité d'un mot de passe pour voir si le nouveau est assez bon. Il y a le risque que leur mot de passe passe simplement de «mot de passe» à «Mot de passe1», mais cela pourrait être un début.
• Suggérer une authentification multifacteur. Un utilisateur devrait, par exemple, se connecter avec son mot de passe, puis recevoir un code sur son téléphone pour terminer le processus. Peut-être exagéré, mais si vous êtes catégorique, les employés ne changeront pas leurs habitudes avec des mots de passe textuels, ce sont parmi les alternatives qui restent pour rendre votre environnement plus sécurisé.
• Organisez des séminaires pour les employés qui soulignent l'importance de sécurité, non seulement dans les mots de passe, mais dans d'autres moyens de protéger les données. Celles-ci sont également l'occasion d'expliquer que les lois sur la protection des données, et pas seulement la politique de l'entreprise, insistent pour que les employés fassent plus attention à la sécurisation des données. Cela peut également décourager les utilisateurs de noter leurs mots de passe!

En ce qui concerne la façon de répondre aux utilisateurs qui disent "J'utilise le même mot de passe depuis des années ..." , il y a deux façons d'aborder cela. Lorsqu'une entreprise pour laquelle j'ai travaillé auparavant a connu une expansion majeure (en absorbant un concurrent), nous avons adopté de nouvelles procédures de sécurité en raison de la nature du travail de l'autre entreprise. Certaines personnes ont utilisé les mêmes excuses que celles que vous pourriez rencontrer. Ma réponse a été "Soyons honnêtes, soit nous avons eu de la chance, soit nous n'avons tout simplement pas été considérés comme une cible souhaitable par les mauvaises personnes." Effectivement, quand les nouvelles de l'expansion rendu public, il y a eu une augmentation notable du nombre de tentatives d'intrusions. Insistez auprès de vos utilisateurs sur le fait que les nouvelles règles que vous souhaitez mettre en œuvre sont inévitables à mesure qu'une entreprise se développe. Offrez-leur une période de grâce, pendant laquelle les mots de passe qui ne répondent pas aux exigences devront être mis à jour dans les mois à venir.

Il y a bien sûr aussi vos analogies quotidiennes. Je suis en bonne santé, mais je vais quand même me faire vacciner avant de voyager dans certains endroits! Ma maison n'a jamais été cambriolée ou incendiée, mais nous avons toujours une assurance habitation.

Faire appel à votre patron ne devrait pas être une stratégie immédiate. Je sais que vous dites que vous ne voulez pas forcer les utilisateurs à effectuer ces modifications, mais il existe des moyens d'empêcher simplement un utilisateur de se connecter tant qu'il n'a pas mis à jour son mot de passe. Si tout le reste échoue, vous aurez le pouvoir d'attribuer vous-même un nouveau mot de passe aux employés indifférents.

En bref, vous pouvez essayer d'encourager vos utilisateurs avec les suggestions ci-dessus, mais si tout le reste échoue, rappelez-vous que c'est plus que juste votre / leur travail en ligne. Exercez votre autorité si nécessaire.

Comment motiver les membres de l’équipe

Comment les motiver d’autres manières, puis les forcer à garder «l’esprit du mot de passe» et pas seulement à jouer pendant le temps que je garde un Êtes-vous attentif au problème?

Vous motivez les employés à cet égard de la même manière que vous les motivez en ce qui concerne toute politique ou procédure.

1. Définir. Définissez et documentez clairement une politique de conformité des mots de passe, et faites-la distribuer et socialiser avec vos autres politiques et procédures d'entreprise. Naturellement, vous aurez besoin de l'adhésion de la haute direction pour y parvenir.

2. Mesurer . Mettre en place un système dans lequel la conformité des mots de passe est périodiquement vérifiée et l'équipe (et non les individus) reçoit une note globale. Cela pourrait aider politiquement si ce type de vérification est effectué par une partie désintéressée, peut-être en dehors de votre organisation immédiate.

3. Contrôle. Demandez à la direction d'inclure la conformité des mots de passe de l'équipe en tant que métrique qui entraîne des évaluations de performances et / ou une compensation. Par exemple, si moins de 20% des utilisateurs ont de mauvais mots de passe, l'équipe obtient un bonus.

De cette façon, vous évitez de blâmer qui que ce soit, évitez de prendre le blâme et faites-le clairement quelles sont les exigences et que vous en êtes sérieux.

Comment puis-je répondre au mieux à des phrases comme "J'ai utilisé ce mot de passe pendant de nombreuses années et je n'ai jamais eu de problème!" ?

La question de savoir si un mot de passe est assez bon n'est pas la décision d'un individu mais une question de politique. Alors voir ci-dessus.

Dois-je transmettre les refus à mon patron (qui m'a chargé des règles de mot de passe et de la sécurité)?

Absolument, mais en d'une manière structurée. Voir ci-dessus.

Dois-je menacer les négationnistes de pouvoir remonter cela à notre patron?

Non, ne faites jamais de menaces. Les menaces sont prises personnellement. Voir ci-dessus.

La technologie peut aider, même avec les anciens systèmes

Une sécurité héritée médiocre n'est pas un problème propre à votre organisation. Il y a au moins deux approches auxquelles je peux penser qui pourraient aider à résoudre le problème.

1. Aider les utilisateurs en leur donnant un système SSO d'entreprise

   Un système SSO d'entreprise peut générer des mots de passe aléatoires pour tous vos anciens systèmes et les mémoriser pour vos employés individuels. Lorsqu'ils doivent se connecter, ils fournissent le mot de passe SSO (ou se connectent à votre réseau à l'aide des informations d'identification Active Directory, éventuellement); le système SSO accède alors à sa base de données de mots de passe et remplit le champ de mot de passe dans l'application héritée. Ce type de solution peut fonctionner avec presque tous les anciens systèmes d'authentification Web.

   Ce qui est bien, c'est qu'il ne s'agit pas d'un travail supplémentaire pour votre équipe; c'est en fait moins de travail.

   Le mot de passe SSO lui-même, bien sûr, peut être soumis à toutes les règles de mot de passe que vous voulez, car il s'agit d'un système moderne.

2. Mettez les systèmes hérités derrière une passerelle moderne

   Vos systèmes hérités sont probablement déjà derrière un pare-feu, un routeur, un proxy ou une autre appliance réseau. Beaucoup d'entre eux peuvent être programmés pour exiger leur propre mot de passe et vous pouvez y utiliser des règles de mot de passe modernes. Tant qu'ils ne s'authentifient pas, ils ne pourront même pas accéder à la page de connexion de l'ancien système. Une fois authentifiés, ils peuvent accéder au système hérité en utilisant leur mot de passe de merde. La folie du mot de passe n'a pas beaucoup d'importance à ce stade car il est protégé par ce deuxième facteur.

Utilisez l'authentification unique pour que les utilisateurs n'aient qu'à créer / mémoriser 1 mot de passe sécurisé pour tout dans votre entreprise.

Lorsque vous demandez aux utilisateurs de créer plusieurs mots de passe et de les changer souvent, ils deviendront enviablement paresseux et choisiront de mauvais mots de passe.

L'authentification unique doit être utilisée sur tous les systèmes que vous ne souhaitez pas pirater. Vous pouvez appliquer la complexité du mot de passe sur votre système d'authentification Single-Sign-On. L'authentification unique peut être coûteuse et prendre du temps à mettre en œuvre, mais si votre entreprise est sérieuse au sujet de la sécurité, cela devrait être votre priorité absolue de ne pas faire honte à vos utilisateurs.

Assurez-vous également que les mots de passe ont une date d'expiration très longue ( au moins 1 an) ou n'expirent pas du tout (voir https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes)

Avant de travailler sur la motivation des individus, vous devez vous demander si l'organisation et la direction sont motivées pour résoudre ce problème. Vous dites que votre patron vous a chargé de cela. Savez-vous que c'est important pour lui? Qu'en est-il de la gestion en dehors de l'informatique?

Dans les petites entreprises ou les services, les gens considèrent souvent que la sécurité de nombreux systèmes n'est pas importante car les informations ne sont tout simplement pas très précieuses pour quiconque, sauf pour quelques-uns qui les utilisent. Dans ce cas, les gens, y compris les dirigeants, ressentent peu de motivation dans les procédures de sécurité, ce qui rend plus difficile l'exécution de leur travail.

Les responsables de la sécurité sont maintenant en colère contre moi, soulignant toutes les raisons est un problème. Ils sont corrects mais cela manque le point. C'est un problème de motivation, pas un problème de technologie.

Si vos dirigeants ne pensent pas que c'est un problème, vous devez les convaincre avant d'essayer quelqu'un d'autre.

Pour convaincre les dirigeants et plus tard tout le monde, vous avez besoin d'une raison pour des mots de passe plus forts qu'ils peuvent imaginer dans leur tête. Les pirates informatiques qui pénètrent dans la base de données clients de l’entreprise peuvent être tirés par les cheveux. Avez-vous des régulateurs qui pourraient vous auditer? Qu'en est-il des contrats clients qui permettent au client d'inspecter vos installations? Avez-vous des employés en congé pour aller chez un concurrent? Trouvez un exemple que les gens pourraient imaginer se produire.

La deuxième étape consiste à aider les gens à faire ce qu'il faut. Travaillez plus dur avec vos fournisseurs pour mettre en place la validation des mots de passe. Installez des outils de mot de passe sur les postes de travail pour que les gens n'aient pas à se souvenir des mots de passe. Examinez les systèmes d'authentification unique pour que les utilisateurs n'aient pas besoin d'autant de mots de passe. Que pouvez-vous faire d’autre pour faciliter la tâche des gens?

La motivation consiste à marquer les gens comme désireux de faire quelque chose, au lieu d’essayer de leur faire faire.

Comment répondre au mieux à des phrases telles que "J'ai utilisé ce mot de passe pendant de nombreuses années et je n'ai jamais eu de problème!"?

Pourquoi verrouillent-ils leur porte alors quittent-ils la maison pour avoir besoin d'une clé pour l'ouvrir? S'ils la ferment simplement mais ne la verrouillent pas, il est fort probable que personne ne se rendra à leur porte pour vérifier si elle est déverrouillée. Alors quelqu'un le fera. Diraient-ils "Je n'ai pas verrouillé ma porte depuis de nombreuses années et je n'ai jamais eu de problème!" jusqu'à ce jour? Cela aurait-il une importance pour eux pendant combien de temps personne n'a vérifié si leur porte était déverrouillée?

À mon avis, cela aiderait également si vous pouviez abandonner le fait que " ils sont dans la cinquantaine et utilisent des mots de passe extrêmement peu sûrs "mentalité (ou énoncer ouvertement le lien au lieu d'en impliquer vaguement un). Une telle mentalité est irréaliste (d'après mon expérience, la catégorie de personnes la plus horriblement facile à vivre, pieux, mentalement faible et insouciante que j'ai vue dans ce domaine sont les adolescents et les personnes dans la vingtaine et je parie aussi dans votre expérience), et le raisonnement par des stéréotypes vides affectera négativement votre crédibilité et réduira la probabilité qu'ils prennent vos préoccupations au sérieux (ils percevront que vous raisonnez comme ça même si vous ne dites rien ouvertement sur leur âge).

Tout cela part du principe que tout ce que vous pouvez faire est d'essayer de persuader vos collègues. Si au lieu de cela la direction est avec vous à ce sujet, la mise en œuvre de procédures pour appliquer réellement le souci du mot de passe serait la meilleure, mais comme votre entreprise rencontre le problème que vous avez décrit, j'imagine que les gestionnaires s'en moquent (et ils utilisent probablement même des mots de passe tout aussi mauvais ). Mais soyez prudent, car il est probable que ce problème de mot de passe soit l'éléphant dans la pièce et vous allez être celui qui a "forcé" les gestionnaires à arrêter de prétendre que l'éléphant n'est pas là, ce qui pourrait ne pas vous rapporter beaucoup de points. De plus, si une violation se produit, les gestionnaires voudront agir comme si cela était inattendu, alors ne soyez pas celui qui a toujours souligné qu'il fallait s'y attendre.

Nous sommes développeur et fournisseur de solutions de contrôle d'accès physique de haute sécurité et je suis à peine en mesure de motiver mes collègues à se comporter comme un employé d'une entreprise aussi haute sécurité (ce qui est ridicule). Dans le même but (éviter de pointer un éléphant dans la pièce que les managers veulent faire semblant de ne pas voir) ne mentionnez rien de tout cela et ne laissez même personne comprendre que c'est ce que vous ressentez.