Changer de mot de passe ? Pardon, mais ce n'est pas nécessaire

Sécurité : Les règles strictes définissant la composition des mots de passe et imposant des changements fréquents ne sont plus d’actualité. Bill Burr avait fait ces recommandations au nom du NIST en 2003. Il le regrette aujourd’hui. Bah on fait comment alors ?!

Changer de mot de passe ? Pardon, mais ce n'est pas nécessaire Sécurité, Cybercriminalité, CNIL

Que faut-il pour sécuriser l’accès à un compte ? C’est évident mon cher Watson ! Ce qu’il vous faut, c’est un bon mot de passe. Et attention, pas question de le changer seulement tous les 36 du mois. Sûr ?

Faut voir. Les politiques en matière de mot de passe ont beaucoup évolué au fil des années. Le Wall Street Journal s’est ainsi entretenu avec Bill Burr. Un as du mot de passe ? Sans doute pas. Et c’est lui-même qui le reconnaît et exprime des regrets.

Plus c’est long, meilleur c’est

En 2003, il avait établi des règles régissant la création et la gestion des mots de passe au nom du NIST, le National Institute of Standards and Technology. Dans un document de 8 pages, l’expert préconisait ainsi d’utiliser des chaînes de caractères aléatoires, plutôt que des mots faciles à mémoriser.

L’utilisateur était aussi encouragé à mêler majuscules et minuscules, caractères spéciaux, sans oublier des chiffres. Tous les ingrédients étaient réunis pour garantir une bonne mémorisation. Au moins durant trois mois. Bill Burr considérait en effet que les mots de passe devaient être changés tous les 90 jours.

De quoi assurer la sécurité ? Plus certainement, un bon moyen d’exaspérer les utilisateurs et de les encourager à s’affranchir de ces règles. En bref : des contraintes qui au final s’avéreraient contre-productives.

  • Besoin d’un mot de passe ? En voici 306 millions à éviter

Bill Burr l’admet : ce n’était pas une bonne idée dans la pratique. Les utilisateurs avaient par exemple tendance, pour se simplifier l’existence (le sens de la vie ?), à procéder uniquement à des ajustements, souvent faciles à anticiper, par exemple en remplaçant le 1 par 2. Et ainsi de suite.

D’accord, mais que faut-il faire alors désormais ? Attendre les nuits de pleine lune, enrouler son clavier dans du jambon (ou du surimi par souci œcuménique), puis sautiller sur la jambe droite tout en tournant dans le sens des aiguilles d’une montre tandis qu’on saisit le nouveau mot de passe ?

C’est tentant. Surtout si on s’imagine les salariés d’un vaste open-space d’une banque de La Défense au grand complet se livrant simultanément au rituel du mot de passe nouveau. Mais non, dommage. Les préconisations sont moins exotiques.

Mot de passe : demandez à CNIL les bons tuyaux

Le NIST a défini de nouvelles règles – au sujet desquelles on espère que son auteur n’exprimera pas de vifs regrets dans quelques années. Comme le résume Business Insider, “les mots de passe doivent être longs et faciles à retenir”. Jusqu’ici, cela paraît relever du bon sens.

Quand les modifier ? Seulement après des signes de compromission. Dans ce cas-là, il est préférable que le mot de passe n’ait pas été répliqué à l’identique sur une multitude de services en ligne et applications.

Toutefois, comme l’expliquait la CNIL en début d’année, les règles sont faites pour être assouplies et leur rigueur conditionnée au contexte et à la présence ou non de mesures de sécurité complémentaires – de la double authentification par exemple.

Le nombre de caractères minimal peut ainsi être abaissé à 8 au lieu de 12 si l’authentification dispose de mesures techniques restreignant l’accès au compte après plusieurs échecs. Le seuil tombe à 5 caractères si l’authentification nécessite un autre facteur (adresse IP du terminal…).

Et si l’authentification implique une clef matérielle (un token sur une clé USB, entre autres), alors le mot de passe pourra même se limiter à quatre chiffres. Bref @RRétez2VousCompliquerL@vi lorsqu’il est possible de faire simple. Et si votre DSI vous tombe sur le râble et vous commande par mail de le modifier malgré tout, vous pourrez sans crainte lui répondre la chose suivante : “Changer de mot de passe ? éTaMêre,LbaLéZœU”

A lire, notre guide :

5 outils pour ne plus oublier ses mots de passe 

Changer de mot de passe ? Pardon, mais ce n'est pas nécessaire

Source : L’article << Changer de mot de passe ? Pardon, mais ce n'est pas nécessaire >> est extrait de ZDNet

Du contenu qui pourrait bien vous intéresser !

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2018-10-14T17:52:04+00:00

Laisser un commentaire

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des publicités ciblées et réaliser des statistiques de visites. Ok