Depuis que l’informatique de l’entreprise existe, les utilisateurs sont tenus de modifier leur mot de passe périodiquement. En fait, le besoin de changements de mot de passe programmés peut être l’une des meilleures pratiques informatiques les plus anciennes.
Récemment, cependant, les choses ont commencé à changer. Microsoft a inversé le cours des meilleures pratiques en place depuis des décennies et ne recommande plus aux organisations d’exiger des utilisateurs qu’ils changent périodiquement leurs mots de passe. Les organisations sont obligées de se demander, peut-être pour la première fois, si le fait d’exiger des changements de mot de passe périodiques est une bonne idée.
Recommandations de réinitialisation de mot de passe Microsoft
Selon Microsoft, obliger les utilisateurs à changer leurs mots de passe souvent fait plus de mal que de bien.
Les humains sont notoirement résistants au changement. Lorsqu’un utilisateur est obligé de changer son mot de passe, il propose souvent un nouveau mot de passe basé sur son ancien mot de passe. Un utilisateur peut, par exemple, ajouter un nombre à la fin de son mot de passe, puis incrémenter ce nombre chaque fois qu’un mot de passe est requis. De même, si des changements de mot de passe mensuels sont requis, un utilisateur peut incorporer le nom d’un mois dans le mot de passe, puis changer le mois chaque fois qu’un changement de mot de passe est requis (par exemple, MyM @ rchP @ ssw0rd).
Ce qui est encore plus dérangeant, c’est que des études ont prouvé qu’il est souvent possible de deviner le mot de passe actuel d’un utilisateur si vous connaissez son ancien mot de passe. Dans une de ces études, les chercheurs ont découvert qu’ils étaient capables de deviner 41% des mots de passe actuels de l’utilisateur en trois secondes s’ils connaissaient le mot de passe précédent de l’utilisateur.
Bien que les changements de mot de passe forcés puissent causer des problèmes, ne pas obliger les utilisateurs à changer leurs mots de passe peut également causer des problèmes. Dans l’état actuel des choses, il faut en moyenne 207 jours à une organisation pour identifier une brèche (Ponemon Institute, 2020). Dans cet esprit, considérez combien de temps cela peut prendre pour identifier une violation si les utilisateurs ne sont pas obligés de changer leurs mots de passe.
Un cybercriminel qui a eu accès à un système au moyen d’un mot de passe volé pourrait potentiellement échapper à la détection indéfiniment.
Plutôt que d’abandonner simplement la pratique consistant à exiger des changements de mot de passe périodiques, il est préférable de résoudre les problèmes sous-jacents qui ont tendance à affaiblir la sécurité d’une organisation.
Le plus gros problème lié aux changements de mot de passe requis est que les expirations fréquentes des mots de passe conduisent les utilisateurs à choisir des mots de passe faibles ou des mots de passe qui sont en quelque sorte liés à leur mot de passe précédent. Une façon d’éviter ce problème est de récompenser les utilisateurs pour avoir choisi des mots de passe forts.
Certains outils de gestion de mot de passe tiers, par exemple, Specops Password Policy, peuvent baser la fréquence de réinitialisation du mot de passe d’un utilisateur sur la longueur et la complexité de son mot de passe. Par conséquent, les utilisateurs qui choisissent des mots de passe forts n’auront pas à changer ces mots de passe aussi souvent qu’un utilisateur qui choisit un mot de passe plus faible.
En outre, les organisations doivent rechercher une solution de gestion des mots de passe qui leur donne la possibilité d’empêcher les utilisateurs d’utiliser des mots de passe connus pour avoir été compromis. Les mots de passe compromis sont des mots de passe qui ont été hachés et ajoutés à des tables arc-en-ciel ou à des bases de données similaires, ce qui permet à un attaquant de déchiffrer le mot de passe extrêmement facilement quelle que soit sa complexité.
Bien qu’il y ait fournisseurs tiers qui gèrent des listes de mots de passe dans le cloud connus pour être compromis, il est important de comprendre que la liste globale des mots de passe interdits de Microsoft n’est pas une liste de mots de passe divulgués et ne répond pas aux recommandations de conformité pour une liste de mots de passe refusés.
Un deuxième problème souvent attribué aux exigences de changement de mot de passe est que les utilisateurs qui sont obligés de changer fréquemment de mot de passe sont plus susceptibles d’oublier leur mot de passe. Cela entraîne des verrouillages de compte et des appels au service d’assistance. La meilleure façon d’éviter ce problème (et de réduire les coûts de votre helpdesk dans le processus) est d’adopter un solution de réinitialisation de mot de passe en libre-service qui permet aux utilisateurs de réinitialiser leurs propres mots de passe de manière sécurisée.
À l’avenir, les organisations qui souhaitent exiger des changements de mot de passe n’auront peut-être guère d’autre choix que d’adopter une solution de gestion des mots de passe tierce. Microsoft supprime ses paramètres de stratégie d’expiration de mot de passe de Windows, à partir de la version 1903.
En dépit des recommandations contraires, il existe des avantages de sécurité à exiger des utilisateurs qu’ils changent périodiquement leurs mots de passe. La clé, cependant, est de mettre en œuvre une telle exigence de manière à ne pas affaiblir par inadvertance la sécurité d’une organisation. Avec la solution de mot de passe de Specops Software, les organisations peuvent bloquer plus de 2 milliards de mots de passe violés. La solution peut aider les organisations à sécuriser les mots de passe lorsque des expirations fréquentes de mots de passe sont appliquées.
