« Des attaques comme celle-ci soulignent - une fois de plus - qu’il ne suffit plus de mettre en place des mots de passe robustes. Au lieu de cela, un mécanisme qui oblige les utilisateurs - en particulier s’ils ont un accès très recherché à des données confidentielles et à des contrôles - à changer fréquemment leurs identifiants est essentiel. En outre, à chaque fois, ce mécanisme doit exiger des mots de passe forts et uniques, et non des changements itératifs de Mot de passe1 à Mot de passe2, par exemple. Supposons qu’il faille six semaines à un cybercriminel pour déchiffrer le mot de passe d’un administrateur système. Si celui-ci est changé une fois par semaine - ce qui peut être automatisé pour permettre une expérience utilisateur transparente - alors cet identifiant aura été changé six fois avant que l’acteur malveillant ne puisse craquer le mot de passe original via une attaque par force brute.

L’authentification multifactorielle a gagné en popularité, mais elle n’est pas suffisante en soi, puisque les hackers qui volent les cookies pour détourner les sessions la contournent complètement. En d’autres termes, quelle que soit la solidité du mot de passe ou la solution d’authentification multifactorielle utilisée, si un cybercriminel s’empare d’un cookie, tout cela n’a aucune importance. Il est donc essentiel de mettre en place des mesures pour éviter ce type de "cookie harvesting". »