Dans une étude sur les coûts générés par la remise à jour des mots de passe dans les entreprises, Specops Software donne quelques indications qui dressent un état des lieux éclairant. Selon Forrester, chaque réinitialisation de mot de passe coûterait environ 65 € (perte de temps de 40 % selon Gartner suite à un appel à l’assistance informatique de l’organisation, modification fréquente du sésame, etc.).
Les utilisateurs finaux réinitialisent leurs mots de passe environ deux fois par an mais certains utilisateurs le font plus souvent et demandent un déverrouillage de leur compte en moyenne quatre fois par an. Parmi les causes du blocage d’un compte figurent l'oubli de mots de passe, l'usage incorrect du verrouillage des majuscules, ou encore, des erreurs de langue du clavier.
L’analyse de SpecOps, détaille les périodes où se produisent les pic de réinitialisations des codes d’identification. Il s’agit des périodes de fêtes de fin d’année entre décembre (6,8 %) et janvier (8,6 %) ainsi que durant les avances d’été entre juillet (7,6 %) et surtout, au mois d’août (10,5 %). Parmi les 700 clients analysé par SpecOps, 58 réinitialisations automatiques par mois et par client ont eu lieu, pour un coût de 3.686 euros par mois, selon l’estimation de Forrester. Bien qu’il faille croiser ce chiffre avec d’autres sources, l’adoption d’une solution de réinitialisation des mots de passe permettrait d'économiser en moyenne 60.000 euros par organisation.
Le monde numérique sans mot de passe annoncé par l’alliance FIDO n’est toujours pas là
Face aux contraintes qui entravent l’expérience utilisateur et sollicitent inutilement les services d’assistance, l’alliance Fido (Fast Identity Online), consortium regroupant des grandes entreprises technologiques, des agences gouvernementales, etc., tente de longue date de promouvoir l’authentification sans mots de passe. Sans beaucoup de succèsà ce jour.
Fido inclut les dispositifs matériels ou des applications logicielles qui reposent sur un enregistrement unique sur un site ou application. L’authentification est effectué ensuite par un clic sur un bouton dans une application desktop ou mobile, l’insertion d’une clé USB ou par biométrie.
Il semble que le contrôle d’accès sans mot de passe ne soit pas prioritaire pour la DSI et que les anciens sésames ne sont pas morts. A ce jour, le mode de gestion des mots de passe le plus utilisé est, pour 60 % des répondants, une solution de PAM (gestion des accès privilégiés). Ce type d’outils intègrent des fonctions telles que la gestion des mots de passe, le contrôle d'accès sur les rôles, la surveillance des sessions et la création de rapports.
D’autre part, l’utilisation de mots de passe sans authentification MFA à double facteur (2FA) demeure prédominante. La saisie manuelle d’un mot de passe reste la méthode la plus couramment utilisée, pour accéder aux ordinateurs et comptes professionnels (37 %), aux services de streaming (25 %) ou encore aux réseaux sociaux (26 %) selon le dernier baromètre de l’Alliance FIDO. Utile rappel, un mot de passe robuste associe une longueur d’au moins 12 caractères, combine lettres minuscules et majuscules, chiffres et caractères spéciaux. Enfin, il doit être unique, chaque compte ayant son propre mot de passe.