Lorsque l'ingénieur Bill Burr du National Institute of Standards and Technology (NIST) des États-Unis a écrit en 2003 ce qui allait bientôt devenir le référence en matière de sécurité des mots de passe, il a conseillé aux personnes et aux organisations de protéger leurs comptes en inventant de longues lignes « chaotiques » de caractères, de chiffres et de signes – et de les changer régulièrement.

Quatorze ans plus tard, Burr a admis qu'il regrettait ses conseils passés. "Cela rend les gens fous et ils ne choisissent pas de bons mots de passe quoi que vous fassiez", a-t-il déclaré. a déclaré au Wall Street Journal.

Ou, comme le célèbre xkcd comic l'a mis: "En 20 ans d'efforts, nous avons réussi à former tout le monde à utiliser des mots de passe difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs."

De nos jours, une personne moyenne a jusqu'à 100 mots de passe à retenir, dont le nombre a augmenté à un rythme rapide ces dernières années (bien qu'en fait, certaines personnes utilisé environ 50 mots de passe, y compris un certain nombre de codes hors ligne, il y a même des années et certains experts en sécurité ont souligné que de telles habitudes et politiques de mot de passe ne sont pas viables.)

En effet, des études ont montré que les gens se souviennent généralement jusqu'à cinq mots de passe et prendre des raccourcis en créant mots de passe faciles à deviner et alors recyclez-les sur divers comptes en ligne. Certains peuvent en fait substituer des chiffres et des caractères spéciaux aux lettres (par exemple, "mot de passe" se transforme en "P4??WØrd"), mais cela en fait toujours un mot de passe facile à déchiffrer.

Ces dernières années, des organisations de premier plan telles que The Open Web Application Security Project (OWASP) et, bien sûr, le NIST lui-même ont changé leurs politiques et leurs conseils vers une approche plus conviviale, tout en augmentant la sécurité des mots de passe.

Dans le même temps, des géants de la technologie tels que Microsoft ainsi que Google encouragent tout le monde à abandonner complètement les mots de passe et aller sans mot de passe plutôt. Cependant, si votre petite ou moyenne entreprise n'est pas encore prête à se séparer des mots de passe, voici quelques conseils qui vous aideront, vous et vos employés, en 2023.

Arrêtez d'imposer des règles de composition de mot de passe inutilement complexes

Toutes les règles de composition extrêmement complexes (telles que l'obligation pour les utilisateurs d'inclure à la fois des caractères majuscules et minuscules, au moins un chiffre et un caractère spécial) ne sont plus indispensables. En effet, ces règles encouragent rarement les utilisateurs à définir des mots de passe plus forts, les incitant plutôt à agir de manière prévisible et à proposer des mots de passe qui sont un «double coup dur» - ils sont à la fois faibles et difficiles à retenir.

Passer aux phrases secrètes

Au lieu de mots de passe plus courts mais difficiles, optez pour les mots de passe. Ils sont plus longs et plus complexes mais toujours faciles à retenir. Par exemple, il peut s'agir d'une phrase entière qui vous reste en tête pour une raison quelconque, saupoudrée de majuscules, de caractères spéciaux et d'emojis. Bien qu'il ne soit pas super complexe, il faudra encore des années aux outils automatisés pour le casser.

Il y a quelques années, la longueur minimale d'un bon mot de passe était de huit caractères, composés de minuscules et de majuscules, de signes et de chiffres. Aujourd'hui, les outils de craquage de mot de passe automatisés peuvent deviner un tel mot de passe en quelques minutes, surtout s'il est sécurisé avec la fonction de hachage MD5.

C'est selon tests exécutés par Hive Systems et publié en avril 2023. Au contraire, un mot de passe simple qui ne contient que des caractères minuscules et majuscules mais qui fait 18 caractères prend beaucoup, beaucoup plus de temps à déchiffrer.

La source: Systèmes Hive

Visez une longueur minimale de 12 caractères – plus il y en a, mieux c'est !

Les directives du NIST reconnaissent la longueur comme facteur clé de la force du mot de passe et introduisent une longueur minimale requise de 12 caractères atteignant un maximum de 64 caractères après avoir combiné plusieurs espaces. Toutes choses étant égales par ailleurs, plus on est de fous, mieux c'est.

Activer une variété de caractères

Lorsqu'ils définissent leurs mots de passe, les utilisateurs doivent être libres de choisir parmi tous les caractères ASCII et UNICODE imprimables, y compris les emojis. Ils devraient également avoir la possibilité d'utiliser des espaces, qui font naturellement partie des phrases secrètes - une alternative souvent recommandée aux mots de passe traditionnels.



Limitez la réutilisation des mots de passe

C'est la sagesse conventionnelle maintenant que les gens ne devraient pas réutiliser leurs mots de passe sur différents comptes en ligne, car une violation d'un compte peut facilement entraîner la compromission d'autres comptes.

Cependant, de nombreuses habitudes ont la vie dure et environ la moitié des répondants dans une étude du Ponemon Institute de 2019 ont admis avoir réutilisé en moyenne cinq mots de passe dans leurs comptes professionnels et/ou personnels.

Ne définissez pas de date limite d'utilisation pour les mots de passe

Le NIST recommande également de ne pas exiger de changements de mot de passe réguliers, sauf demande de l'utilisateur ou s'il existe des preuves d'un compromis. La raison en est que les utilisateurs n'ont qu'une certaine patience pour devoir constamment penser à de nouveaux mots de passe raisonnablement forts. Par conséquent, les amener à le faire à intervalles réguliers peut faire plus de mal que de bien.

Lorsque Microsoft a annoncé l'abandon des politiques d'expiration des mots de passe il y a trois ans, il a remis en question toute l'idée de l'expiration des mots de passe.

« S'il est certain qu'un mot de passe est susceptible d'être volé, combien de jours est une durée acceptable pour continuer à permettre au voleur d'utiliser ce mot de passe volé ? La valeur par défaut de Windows est de 42 jours. Cela ne semble-t-il pas ridiculement long ? Eh bien, c'est le cas, et pourtant notre base de référence actuelle indique 60 jours - et avait l'habitude de dire 90 jours - car forcer une expiration fréquente introduit ses propres problèmes », lit le blog de Microsoft.

Gardez à l'esprit qu'il ne s'agit que d'un conseil général. Si vous sécurisez une application cruciale pour votre entreprise et attrayante pour les attaquants, vous pouvez toujours forcer vos employés à changer périodiquement de mot de passe.

Abandonnez les indices et l'authentification basée sur les connaissances

Les indices de mot de passe et les questions de vérification basées sur les connaissances sont également obsolètes. Bien que ceux-ci puissent en fait aider les utilisateurs dans leur recherche de mots de passe oubliés, ils peuvent également être d'une grande valeur pour les attaquants. Notre confrère Jake Moore a montré à plusieurs reprises comment des pirates peuvent abuser de la page "mot de passe oublié" sur afin de s'introduire dans les comptes d'autres personnes, par exemple sur PayPal ainsi que Instagram.

Par exemple, une question telle que "le nom de votre premier animal de compagnie" peut être facilement devinée avec un peu de recherche ou d'ingénierie sociale et il n'y a pas vraiment un nombre infini de possibilités qu'un outil automatisé doit parcourir.

Liste noire des mots de passe courants

Plutôt que de vous fier aux règles de composition précédemment utilisées, vérifiez les nouveaux mots de passe par rapport à une « liste noire » des le plus couramment utilisé et/ou des mots de passe précédemment compromis et évaluez les tentatives de correspondance comme inacceptables.

En 2019, Microsoft a scanné les comptes de ses utilisateurs comparant les noms d'utilisateur et les mots de passe à une base de données de plus de trois milliards d'ensembles d'informations d'identification divulguées. Il a trouvé 44 millions d'utilisateurs avec des mots de passe compromis et a forcé une réinitialisation du mot de passe.

Fournir un support pour les gestionnaires de mots de passe et les outils

Assurez-vous que la fonctionnalité "copier-coller", les outils de mot de passe du navigateur et les gestionnaires de mots de passe externes sont autorisés à gérer les tracas liés à la création et à la sauvegarde des mots de passe des utilisateurs.

Les utilisateurs doivent également choisir d'afficher temporairement l'intégralité du mot de passe masqué ou le dernier caractère saisi du mot de passe. Selon les directives de l'OWASP, l'idée est d'améliorer la convivialité de la saisie des informations d'identification, en particulier autour de l'utilisation de mots de passe plus longs, de phrases secrètes et de gestionnaires de mots de passe.

Définir une courte durée de conservation pour les mots de passe initiaux

Lorsque votre nouvel employé crée un compte, le mot de passe initial ou le code d'activation généré par le système doit être généré de manière sécurisée et aléatoire, comporter au moins six caractères et peut contenir des lettres et des chiffres.

Assurez-vous qu'il expire après une courte période et qu'il ne peut pas devenir le véritable mot de passe à long terme.

Avertir les utilisateurs des changements de mot de passe

Lorsque les utilisateurs modifient leurs mots de passe, ils doivent d'abord être invités à saisir leur ancien mot de passe et, idéalement, activer l'authentification à deux facteurs (2FA). Une fois cela fait, ils devraient recevoir une notification.

Faites attention à votre processus de récupération de mot de passe

Non seulement le processus de récupération ne doit pas révéler le mot de passe actuel, mais il en va de même pour les informations indiquant si le compte existe réellement ou non. En d'autres termes, ne fournissez aucune information (inutile) aux attaquants !

Utilisez CAPTCHA et d'autres contrôles anti-automatisation

Utilisez des contrôles anti-automatisation pour atténuer les tests d'identifiants violés, la force brute et les attaques de verrouillage de compte. Ces contrôles incluent le blocage des mots de passe violés les plus courants, les verrouillages logiciels, la limitation du débit, le CAPTCHA, les délais sans cesse croissants entre les tentatives, les restrictions d'adresse IP ou les restrictions basées sur les risques telles que l'emplacement, la première connexion sur un appareil, les tentatives récentes de déverrouillage du compte. , ou similaire.

Selon les normes actuelles de l'OWASP, il devrait y avoir au maximum 100 tentatives infructueuses par heure sur un seul compte.

Ne vous fiez pas uniquement sur les mots de passe

Indépendamment de la force et de l'unicité d'un mot de passe, il reste une barrière unique séparant un attaquant et vos précieuses données. Lorsque vous visez des comptes sécurisés, une couche d'authentification supplémentaire doit être considérée comme un must absolu.

C'est pourquoi vous devez utiliser l'authentification à deux facteurs (2FA) ou à plusieurs facteurs (MFA) dans la mesure du possible.

Cependant, toutes les options 2FA ne sont pas égales. Les messages SMS, bien que bien meilleurs que l'absence de 2FA du tout, sont sensibles à de nombreuses menaces. Des alternatives plus sécurisées impliquent l'utilisation d'appareils matériels dédiés et de générateurs de mots de passe à usage unique (OTP) basés sur des logiciels, tels que des applications sécurisées installées sur des appareils mobiles.

Remarque : Cet article est une version mise à jour et étendue de cet article que nous avons publié en 2017 : Plus d'exigences de mot de passe inutiles

Vérifiez peut-être Le générateur de mots de passe d'ESET?

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
• La source: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/