Réutilisation de mots de passe
Qu'est-ce que Réutilisation de mots de passe ?
Réutilisation de mots de passePratique consistant à utiliser le même mot de passe sur plusieurs comptes ou services, qui permet à une seule fuite d'en compromettre beaucoup d'autres.
La réutilisation de mots de passe survient lorsqu'un utilisateur choisit le même mot de passe — ou des variantes triviales — pour sa messagerie personnelle, son travail, sa banque et des dizaines d'autres services. Si l'un d'eux est compromis et que le mot de passe est cassé ou divulgué, les attaquants peuvent rejouer cet identifiant sur d'autres sites via du credential stuffing et prendre le contrôle d'autres comptes. Études et rapports d'incident montrent que la réutilisation est le principal amplificateur des fuites liées aux mots de passe. Les défenses incluent des mots de passe uniques générés par un gestionnaire, des vérifications obligatoires contre les listes de mots de passe compromis, la MFA et la migration progressive vers des options sans mot de passe comme les passkeys.
● Exemples
- 01
Mot de passe issu d'une fuite de forum réutilisé pour entrer dans la messagerie et le stockage cloud du même utilisateur.
- 02
Salarié qui réutilise son mot de passe personnel sur son compte SSO d'entreprise.
● Questions fréquentes
Qu'est-ce que Réutilisation de mots de passe ?
Pratique consistant à utiliser le même mot de passe sur plusieurs comptes ou services, qui permet à une seule fuite d'en compromettre beaucoup d'autres. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Réutilisation de mots de passe ?
Pratique consistant à utiliser le même mot de passe sur plusieurs comptes ou services, qui permet à une seule fuite d'en compromettre beaucoup d'autres.
Comment fonctionne Réutilisation de mots de passe ?
La réutilisation de mots de passe survient lorsqu'un utilisateur choisit le même mot de passe — ou des variantes triviales — pour sa messagerie personnelle, son travail, sa banque et des dizaines d'autres services. Si l'un d'eux est compromis et que le mot de passe est cassé ou divulgué, les attaquants peuvent rejouer cet identifiant sur d'autres sites via du credential stuffing et prendre le contrôle d'autres comptes. Études et rapports d'incident montrent que la réutilisation est le principal amplificateur des fuites liées aux mots de passe. Les défenses incluent des mots de passe uniques générés par un gestionnaire, des vérifications obligatoires contre les listes de mots de passe compromis, la MFA et la migration progressive vers des options sans mot de passe comme les passkeys.
Comment se défendre contre Réutilisation de mots de passe ?
Les défenses contre Réutilisation de mots de passe combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Réutilisation de mots de passe ?
Noms alternatifs courants : Mot de passe réutilisé, Mot de passe partagé entre comptes.
● Termes liés
- attacks№ 232
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
- identity-access№ 230
Collecte d'identifiants
Capture massive de noms d'utilisateur, mots de passe, jetons et autres secrets d'authentification, souvent en vue d'une prise de compte ou d'une revente.
- attacks№ 800
Pulvérisation de mots de passe
Attaque "low and slow" qui essaie un petit lot de mots de passe courants sur de nombreux comptes, en restant sous les seuils de verrouillage et de rate-limit.
- identity-access№ 793
Passkey
Identifiant FIDO2/WebAuthn résistant à l'hameçonnage : paire de clés asymétriques liée au matériel ou synchronisable, qui remplace le mot de passe par un défi-réponse cryptographique.
- identity-access№ 797
Gestionnaire de mots de passe
Application qui génère, stocke et remplit automatiquement des identifiants uniques et robustes, protégée par une phrase maîtresse et, de plus en plus, par des passkeys.