Le NIST propose de nouvelles lignes directrices qui visent insuffler le bon sens ncessaire l’hygine des mots de passe. L’agence interdit certaines des rgles de mot de passe les plus contrariantes et les plus absurdes. Parmi ces rgles, les plus importantes sont la rinitialisation obligatoire, l’utilisation obligatoire ou restreinte de certains caractres spciaux et l’utilisation de questions de scurit. Ces recommandations visent simplifier les meilleures pratiques de gestion des mots de passe et liminer celles qui ne favorisent pas une plus grande scurit. Trouver un mot de passe robuste reste un dfi important et un exercice stressant pour de nombreux utilisateurs.
l’re du tout numrique, les internautes se connectent rgulirement des services en ligne omniprsents dans leur vie quotidienne l’aide d’un identifiant et d’un mot de passe. Choisir des mots de passe forts et les conserver en toute scurit est l’une des parties les plus difficiles d’un bon rgime de cyberscurit. Il est encore plus difficile de se conformer aux rgles relatives aux mots de passe imposes par les employeurs, les autorits de rglementation et les fournisseurs de services en ligne. Et dans certains cas, ces rgles, censes renforcer l’hygine de la scurit, finissent en ralit par la compromettre.
Le NIST a publi ce mois-ci la deuxime version de son projet public SP 800-63-4 sur l’identit numrique. Une section consacre aux mots de passe injecte une grande quantit de pratiques de bon sens qui ne sont pas ncessaires et qui remettent en question les politiques courantes. En d’autres termes, le nouveau document dcrit les exigences techniques ainsi que les meilleures pratiques recommandes pour la gestion des mots de passe et l’authentification.
Les dernires lignes directrices demandent aux fournisseurs de services d’authentification (CSP) de ne plus exiger des utilisateurs qu’ils dfinissent des mots de passe utilisant des types ou des caractres spcifiques ou qu’ils changent priodiquement de mot de passe (gnralement tous les 60 ou 90 jours). Le NIST interdit galement de ne plus utiliser l’authentification base sur les connaissances ou les questions de scurit lors de la slection des mots de passe.
Utilisation obligatoire de caractres spciaux
Une autre exigence qui fait souvent plus de mal que de bien est l’utilisation obligatoire de certains caractres, tels qu’au moins un chiffre, un caractre spcial et une lettre majuscule et minuscule. Lorsque les mots de passe sont suffisamment longs et alatoires, il n’y a aucun avantage exiger ou restreindre l’utilisation de certains caractres. Par ailleurs, les rgles rgissant la composition peuvent inciter les gens choisir des codes de passe plus faibles.
Changement priodique de mot de passe
Le changement priodique de mot de passe est une exigence qui a vu le jour il y a plusieurs dcennies, lorsque la scurit des mots de passe tait mal comprise et qu’il tait courant de choisir des noms communs, des mots du dictionnaire et d’autres secrets faciles deviner. Depuis, la plupart des fournisseurs de services en ligne exigent l’utilisation de mots de passe plus forts, composs de caractres ou de phrases gnrs de manire alatoire.
Mais lorsque les mots de passe sont choisis correctement, l’obligation de les modifier priodiquement, gnralement tous les mois ou tous les trois mois, peut en fait diminuer la scurit, car la charge supplmentaire incite choisir des mots de passe plus faibles, plus faciles dfinir et mmoriser. Les dernires lignes directrices stipulent dsormais que :
- les vrificateurs et les CSP ne doivent pas imposer d’autres rgles de composition (par exemple, exiger des mlanges de diffrents types de caractres) pour les mots de passe et les codes d’accs ;
- les vrificateurs et les CSP ne doivent pas exiger des utilisateurs qu’ils changent priodiquement de mot de passe. Toutefois, les vrificateurs doivent imposer un changement s’il existe des preuves de la compromission de l’authentificateur.
Vrificateur est un terme utilis pour dsigner l’entit qui vrifie l’identit d’un titulaire de compte en corroborant les rfrences d’authentification du titulaire. Les CSP (credential service providers) sont des entits de confiance qui attribuent ou enregistrent des authentificateurs au titulaire du compte).
Les autres recommandations formules par le NIST
Lorsque le NIST a prsent pour la premire fois ses recommandations en matire de mots de passe (NIST 800-63B) en 2017, il a recommand la complexit : des mots de passe comprenant un mlange de lettres majuscules et minuscules, de chiffres et de caractres spciaux. Cependant, les mots de passe complexes ne sont pas toujours forts (par exemple, Password123 ! ou q1@We3$Rt5 ). En outre, la complexit signifiait que les utilisateurs rendaient leurs mots de passe prvisibles et faciles deviner, qu’ils les crivaient dans des endroits faciles trouver ou qu’ils les rutilisaient pour plusieurs comptes.
Ces dernires annes, le NIST a mis l’accent sur la longueur des mots de passe, car les mots de passe plus longs sont plus difficiles dcrypter par des attaques par force brute et peuvent tre plus faciles mmoriser pour les utilisateurs sans tre prvisibles.
Dans les versions prcdentes des lignes directrices, certaines des rgles proposes par le NIST utilisaient les termes ne devrait pas , ce qui signifie que la pratique n’est pas recommande en tant que meilleure pratique. La mention ne doit pas , en revanche, signifie que la pratique doit tre interdite pour qu’une organisation soit en conformit. Le dernier document contient plusieurs autres pratiques de bon sens, notamment :
- les vrificateurs et les CSP doivent exiger que les mots de passe comportent au moins huit caractres et devraient exiger que les mots de passe comportent au moins 15 caractres.
- les vrificateurs et les CSP devraient autoriser un mot de passe d’une longueur maximale d’au moins 64 caractres ;
- les vrificateurs et les CSP devraient accepter tous les caractres d’imprimerie ASCII [RFC20] et le caractre espace dans les mots de passe ;
- les vrificateurs et les CSP devraient accepter les caractres Unicode [ISO/ISC 10646] dans les mots de passe. Chaque point de code Unicode doit tre considr comme un seul caractre lors de l’valuation de la longueur du mot de passe ;
- les vrificateurs et les CSP ne doivent pas imposer d’autres rgles de composition (par exemple, exiger des mlanges de diffrents types de caractres) pour les mots de passe ;
- les vrificateurs et les CSP ne doivent pas exiger des utilisateurs qu’ils changent priodiquement de mot de passe. Toutefois, les vrificateurs doivent imposer un changement s’il existe des preuves de compromission de l’authentificateur ;
- les vrificateurs et les CSP ne doivent pas autoriser l’abonn stocker un indice accessible un demandeur non authentifi ;
- les vrificateurs et les CSP ne doivent pas inviter les abonns utiliser l’authentification base sur la connaissance (KBA) (par exemple, Quel tait le nom de votre premier animal de compagnie ? ) ou des questions de scurit lors du choix des mots de passe ;
- les vrificateurs doivent vrifier l’intgralit du mot de passe soumis (c’est–dire ne pas le tronquer).
Depuis des annes, les critiques dnoncent la folie et les prjudices causs par de nombreuses rgles relatives aux mots de passe couramment appliques. Pourtant, les banques, les services en ligne et les agences gouvernementales se sont largement accrochs ces rgles. Les nouvelles lignes directrices ne sont pas universellement contraignantes, mais elles pourraient fournir des arguments convaincants en faveur de l’limination de ces absurdits.
L’utilisation de mots de passe faibles reste largement rpandue
L’utilisation de mots de passe faibles reste largement rpandue par les internautes. Une enqute de la socit NordPass a rvl que le pire mot de passe le plus utilis dans le monde en 2023 est de loin « 123456 ». Rien qu’en France, l’enqute a compt plus de 86 000 entres de ce mot de passe. Presque la totalit des dix premiers mots de passe les plus utiliss dans le monde peut tre dchiffre en moins d’une seconde l’aide de simples outils de force brute.
Toujours en France, les mots de passe les plus frquents comprennent galement : « motdepasse », « marseille », « azerty », « admin », etc. Selon les donnes de l’tude, seule une poigne de mots de passe poserait problme un pirate informatique pendant plus d’une seconde, et un seul – « theworldinyourhand » – est pratiquement indchiffrable. Il s’agit du 173e mot de passe le plus courant et il faudrait des sicles pour le deviner en utilisant une attaque par force brute.
La scurit apparente de « theworldinyourhand » montre que l’utilisation de caractres spciaux, de chiffres ou encore de majuscules dans un mot de passe n’est pas obligatoire pour garantir sa scurit. Selon l’tude de NordPass, le deuxime mot de passe le plus difficile dchiffrer est « admintelecom ». Bien qu’il ne soit pas aussi robuste que « theworldinyourhand », il faudrait tout de mme environ 23 jours un pirate pour le craquer en utilisant une attaque par force brute.
Bien sr, pour satisfaire l’administrateur informatique de votre entreprise et respecter ses exigences qui imposent l’utilisation d’un mot de passe d’au moins 8 caractres contenant au minimum une lettre majuscule, une lettre minuscule et un chiffre, vous pouvez toujours utiliser « Aa123456 ». Mais il figure la 9e position des pires mots de passe les plus utiliss dans le monde. Selon les experts, le choix du bon mot de passe reste un dfi pour les internautes.
Source : NIST
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des nouvelles recommandations du NIST en matire de pratiques de gestion de mot de passe ?
Que pensez-vous de l’obligation d’utiliser des caractres spciaux ? Quid du changement priodique de mot de passe ?
Comment l’interdiction de ces pratiques de longue date peut-elle impacter la scurit des mots de passe ?
Sur quels critres vous basez-vous pour former vos mots de passe robustes ?
Voir aussi