D’abord parce qu’ils sont évidents et ont déjà été utilisés !
Si votre mot de passe est “azerty” ou “123456789“ ou “password”, il ne vous protège aucunement et si une personne mal intentionnée décide d’accéder à votre compte, elle y parviendra aisément.
Ensuite parce qu’ils sont complexes, mais pas compliqués !
Vous l’aurez surement rencontré ailleurs mais certains systèmes vous obligent à intégrer un symbole, ou une majuscule ou un nombre ou encore tout ça à la fois. Si votre mot de passe devient par conséquent “azerty1A@” il est certes plus difficile à deviner mais il reste malheureusement relativement faible. En effet obliger certains types de caractères dans un mot de passe peut donner des indices sur le contenu de celui-ci et entraîne souvent de mauvaises pratiques chez les utilisateurs.
Aujourd’hui il est recommandé de calculer la “force” d’un mot de passe en se basant sur son entropie. Qu’est ce que l’entropie ? Pour faire très simple, c’est une mesure de l’imprédictibilité (
merci wikipedia). Pour faire encore plus simple c’est une mesure du “désordre”. La force des mots de passes est donc fortement liée à leur imprédictibilité. On calcule ainsi la force d’un mot de passe sur son entropie. Le NIST (National Institute of Standards and Technology), agence américaine de référence sur la question, a déterminé une méthode pour calculer l’entropie des mots de passes sur laquelle nous nous sommes basés pour concevoir nos standards de sécurité.
Rendez obligatoire l’Authentification en 2 étapes
L’authentification en 2 étapes, comme son nom l’indique, ajoute une étape supplémentaire à l’authentification classique qui consiste généralement à saisir son email et son mot de passe. Cette étape demande à l’utilisateur qui vient de se connecter de saisir un code pin supplémentaire afin de confirmer son identité. Ce code pin est envoyé par SMS à l’utilisateur lors de sa tentative de connexion ou alors il est généré par une application spécialisée tel que
Google Authenticator ou
Authy.
Cela permet de faire de l’authentification à la fois sur de la connaissance (email et mot de passe) mais aussi sur de la possession (l’utilisateur est propriétaire du numéro de téléphone qui recevra le code ou de l’application qui le génèrera).
Cette authentification rend difficile le partage des comptes. Vous pourrez ainsi plus efficacement tracer les actions de vos utilisateurs.
Sur Eventmaker, vous pouvez activer l’authentification à deux étapes sur votre compte utilisateur, et la forcer pour tous les utilisateurs de votre compte client
Limitez les risques avec une gestion des droits
Lors d’un événement vous embauchez du personnel d’accueil pour inscrire des participants, les trouver parmi une liste d’inscrits ou encore imprimer un badge.
Vous devez leur donner des accès à vos données, tout en restreignant leurs actions (ils ne doivent pas pouvoir supprimer, ou bien exporter votre base de données).
En amont, vos équipes doivent pouvoir créer des campagnes d’emails marketing et inviter les bons participants, potentiellement, certains d’entre eux doivent pouvoir exporter des segments de la base de données etc.
Dans le cas où vous organisez plusieurs événements, il est essentiel de pouvoir restreindre les accès de vos collaborateurs aux événements qui les concernent uniquement.
Vous devez pouvoir inviter les différentes équipes à travailler sur vos données, mais à tout moment il faut pouvoir révoquer un ou plusieurs utilisateurs et pouvoir le faire instantanément.
Tous ces éléments sont disponibles dans Eventmaker.
Soyez exigeants pour la sécurité de vos données
Que vous soyez clients d’Eventmaker ou non, nous vous invitons à suivre de près nos recommandations et à vous inspirer de nos bonnes pratiques pour l’ensemble de vos outils.