Tout ce que je pensais sur l’expiration des mots de passe est exact (et les experts sont enfin d’accord)

L’une des connaissances les plus durables en matière de sécurité des mots de passe est que les changements fréquents de mots de passe renforcent la sécurité. C’est du moins ce que les équipes informatiques du monde entier ont incité les utilisateurs à faire pendant des décennies.

Toutefois, ce conseil s’est toujours heurté à une certaine résistance, de nombreux spécialistes de la sécurité estimant qu’il conduit à de mauvaises pratiques en matière de mots de passe, qui consistent à cocher toutes les cases tout en restant mémorisables.

Aujourd’hui, les recherches confirment cette théorie en montrant que le fait de changer fréquemment de mot de passe entraîne des problèmes de sécurité.

Les changements fréquents de mot de passe entraînent une mauvaise sécurité

Beaucoup d’entre vous sont passés par là : le redoutable changement de mot de passe imposé toutes les quatre, six ou huit semaines. L’idée est que le changement de mot de passe rend toute faille de sécurité inutile, puisque tout le monde utilise un nouveau mot de passe.

Lucas Gouveia / lizengo.fr

En réalité, cela conduit à des raccourcis lorsqu’il s’agit de créer un mot de passe. Au lieu de créer des mots de passe forts, uniques et difficiles à deviner, la plupart des utilisateurs optent pour des mots de passe faciles à retenir, avec de petites itérations.

Par exemple, un mot de passe fort de 16 caractères peut se lire « hS’9{yX?Fzu#=_:R », contenant un mélange de lettres majuscules et minuscules, de chiffres et de symboles. Il est difficile de s’en souvenir, mais avec le temps, vous y parviendrez.

En revanche, si vous devez changer votre mot de passe tous les mois, vous n’aurez pas le temps de vous en souvenir. C’est pourquoi les gens commencent à utiliser des phrases plus faciles à retenir, avec de petites itérations.

• Mois 1 : motdepassedifficile1
• Mois 2 : d1fficultpassword2
• Mois 3 : d1ff1cultp4ssword3

Et ainsi de suite.

Choisissez un mot de passe fort et unique (ou utilisez un gestionnaire de mots de passe)

Le Royaume-Uni Centre national de cybersécurité du Royaume-Uni déconseille depuis 2015 d’imposer des mots de passe réguliers, et maintenant, en 2024, le Centre national de cybersécurité du Royaume-Uni (National Cyber Security Centre) recommande de ne pas imposer de mots de passe réguliers. Institut national des normes lui emboîte le pas.

Ses nouveaux conseils recommandent une expiration des mots de passe tous les 365 jours, ce qui modifie radicalement le calendrier et renforce la sécurité.

Parallèlement, le NIST met également à jour ses messages sur la longueur et la force des mots de passe. Dans certains cas, les règles de création de mots de passe limitent les utilisateurs à 12 caractères, ou certains symboles ne peuvent pas être utilisés. Désormais, le NIST recommande que tous les mots de passe soient.:

• Un minimum de 15 caractères
• Jusqu’à 64 caractères
• Comprend tous les caractères ASCII, le caractère d’espacement et les caractères Unicode.

Ces changements signifient que davantage de champs de saisie de mots de passe permettront des phrases de passe plus fortes et plus faciles à retenir (jusqu’à la limite), tandis que la force globale des mots de passe est également renforcée.

Bien entendu, toute organisation soucieuse de la sécurité des mots de passe devrait autoriser l’utilisation d’un gestionnaire de mots de passe. L’utilisation d’un gestionnaire de mots de passe implique des considérations de sécurité supplémentaires, telles que le stockage local des données, le cryptage à connaissance nulle, etc., mais c’est le meilleur moyen de protéger tous vos comptes avec un mot de passe fort.