Délai d'attente: Pourquoi changer votre stratégie d'expiration de mot de passe
Les meilleures pratiques exigent depuis longtemps des politiques pour forcer les mots de passe à expirer périodiquement. Personnellement, j'ai toujours été sceptique quant au processus d'expiration forcée des mots de passe, mais la pratique est si profondément ancrée dans la culture des technologies de l'information que je n'ai jamais voulu contourner ce problème en déconseillant l'utilisation de ces politiques. D'une certaine manière, cela semblait irresponsable. Cependant, Microsoft a récemment publié ses propres règles de sécurité pour les deux systèmes d'exploitation Fenêtres 10 1903 Et Windows Server 1903. Dans ce guide, Microsoft vous recommande de ne pas utiliser de stratégie d’expiration du mot de passe. La question est pourquoi.
Pour comprendre la raison de ce mouvement plutôt inattendu, vous devez repenser à vos débuts en informatique. À cette époque, il était très difficile de détecter l'utilisation des informations d'identification volées. Dans ce cas, des stratégies d’expiration de mot de passe ont été mises en œuvre afin de garantir que, si une personne réussit à voler un mot de passe, le mot de passe volé ne sera utile que pendant un temps limité.
Selon les normes actuelles, cette approche est ridicule. Si quelqu'un peut voler un mot de passe, il peut infliger des dégâts considérables en quelques minutes. Est-il vraiment judicieux de laisser cette personne obtenir une provision gratuite du compte piraté jusqu'à ce que le mot de passe expire dans quelques semaines? Bien sûr que non. Les violations de la sécurité doivent être traitées en temps réel.
⚡ Liens rapides
Sécurité faible, pas la renforcer
De l'autre côté du problème, la demande de modifications périodiques du mot de passe peut en réalité affaiblir la sécurité de l'organisation. Je ne peux que repenser à une entreprise avec laquelle j'ai travaillé au début de ma carrière en informatique. Comme toutes les autres organisations auxquelles je peux penser, cette société a demandé une réinitialisation périodique du mot de passe. Cependant, ils l'ont fait d'une manière complètement différente de tout ce que j'ai vu nulle part ailleurs. Au lieu de demander à l'utilisateur de saisir son mot de passe, le système a défini des mots de passe pour les utilisateurs. Ces mots de passe sont constitués de deux mots aléatoires (généralement un ou deux noms de syllabes), séparés par un espace. Un exemple de mot de passe créé par le système pourrait être "église hôtel".
Une chose que vous remarquerez à propos de ce modèle de mot de passe est sa simplicité. Bien que le mot de passe comprenne des caractères 12, il se compose de deux mots, une syllabe, qui figurent tous deux dans le dictionnaire. Cependant, je me souviens très bien des personnes qui ont du mal à se rappeler leurs mots de passe. Une fois, j'ai dû réinitialiser mon mot de passe car je ne me souvenais plus du nouveau mot de passe que le système m'avait attribué.
Maintenant, comparez le mot de passe simple que vous venez de décrire à ce que de nombreuses organisations exigent aujourd'hui. Il n'est pas rare qu'un mot de passe récent comprenne des caractères 12, tout comme mon mot de passe de longue date. La différence est que les mots de passe modernes tendent à être des combinaisons complètement aléatoires de lettres majuscules et minuscules, de chiffres et de symboles. Si les utilisateurs ont du mal à mémoriser une paire de mots simples avec une seule syllabe, imaginez à quel point il est difficile pour l'utilisateur de mémoriser une chaîne complexe de caractères aléatoires, en particulier lorsque le mot de passe de l'utilisateur change toutes les quelques semaines.
À mon avis, les mots de passe complexes et aléatoires ne présentent aucun inconvénient. Les mots de passe doivent être suffisamment complexes pour ne pas être compromis lors d'une attaque par dictionnaire. Cependant, une demande d'utilisation de mots de passe longs et complexes, ainsi que de modifications fréquentes du mot de passe, n'est qu'une demande de démarrage d'un problème. La plupart des utilisateurs auront du mal à se souvenir du mot de passe actuel, ce qui entraîne une réinitialisation statique du mot de passe, des habitudes de mauvaise mot de passe ou les deux. Si vous avez besoin d'un exemple concret, ne cherchez pas plus loin que l'Agence de gestion des urgences d'Hawaï, qui a été vivement critiquée après qu'un de ses employés ait été photographié devant un ordinateur avec le mot de passe de l'utilisateur sur un pense-bête.
L'exemple le plus audacieux d'utilisation du mot de passe téméraire que j'ai vu en personne est une situation dans laquelle l'utilisateur a utilisé l'économiseur d'écran Windows 3D Text pour afficher son mot de passe. Vous ne pouvez pas configurer ces choses.
Cependant, les stratégies de changement de mot de passe sont une relique des derniers jours et visaient à déterminer comment les attaquants peuvent accéder à un compte piraté. Aujourd'hui, cependant, les failles de sécurité liées aux mots de passe sont beaucoup plus faciles à détecter qu'auparavant. Si une entreprise est convaincue qu'elle peut détecter une violation de compte, l'utilisateur n'a aucune raison de changer de mot de passe, à moins que son compte ne soit compromis.
L'avenir des mots de passe
L'idée que les stratégies d'expiration des mots de passe sont obsolètes soulève un point important. Beaucoup de gens considèrent les mots de passe eux-mêmes comme obsolètes. Selon les articles câblés de 2012, ses racines remontent au projet MIT de 1960. Certaines sources spéculent que l'utilisation de mots de passe peut être plus ancienne.
Quelle que soit la date à laquelle les mots de passe ont été inventés, il est juste de dire que les mots de passe existent depuis plus d'un demi-siècle. Très peu de technologies de l'information ont connu une telle longévité, pourtant le concept de mot de passe est resté relativement inchangé depuis plus de cinquante ans. Alors que certains diraient que les mots de passe ont résisté à l'épreuve du temps, d'autres (moi y compris) diraient que les mots de passe ont perdu leur utilité.
Le principal problème des mots de passe est qu’ils peuvent être facilement compromis. Nous avons probablement tous entendu parler d'un mot de passe volé par une personne naviguant à l'épaule (debout derrière une personne tout en tapant son mot de passe). Cependant, le simple fait de surveiller une personne en tapant son mot de passe est devenu plus sophistiqué. Hier encore, quelqu'un m'a parlé d'une exploitation dans laquelle de mauvais acteurs utilisaient des caméras thermiques pour rechercher des signatures thermiques sur les touches afin de déterminer celles qui étaient enfoncées. D'après ce que l'on m'a dit, cette exploitation est principalement utilisée sur les guichets automatiques pour déterminer les codes confidentiels, mais le même concept de base peut facilement être appliqué au vol de mots de passe.
Ces dernières années, la technologie nous a fourni des alternatives meilleures, plus sûres et moins compliquées à l'utilisation d'un mot de passe. Par exemple, votre ordinateur portable Microsoft Surface Book 2 est configuré pour effectuer une authentification basée sur la reconnaissance faciale. Le processus d'inscription à Entrée fonctionne étonnamment bien et il n'y a pas de mot de passe à retenir. Mieux encore, il y a peu de chances que quelqu'un vole un mot de passe, car il n'y a pas de mot de passe. Certes, le Surface Book 2 utilise un code PIN numérique comme mécanisme d'authentification de secours, mais le code PIN n'est requis que si la reconnaissance faciale échoue, et le mécanisme de reconnaissance faciale fonctionne suffisamment bien pour que les échecs d'authentification soient très rares.
Changement de politique d'expiration: un avertissement
À mon avis, cette étape permet de se débarrasser des stratégies d’expiration du mot de passe tant attendues. Les exigences relatives aux modifications périodiques des mots de passe ne donnent pas de bons résultats dans le monde moderne et peuvent même affaiblir la sécurité. Avant d'abandonner complètement votre stratégie de changement de mot de passe, il est important de noter que l'abandon de ces stratégies peut ne pas être une option dans les organisations réglementées. Certains ensembles d'exigences réglementaires peuvent contenir des exigences spécifiques concernant la fréquence à laquelle les mots de passe doivent être changés.