Pourquoi les mots de passe « sans date d'expiration » peuvent être une décision risquée
Les réinitialisations de mot de passe peuvent être frustrantes pour les utilisateurs finaux. Personne n'aime être interrompu par la notification « il est temps de changer votre mot de passe » - et on aime encore moins lorsque les nouveaux mots de passe que l'on créés sont rejetés par la politique de mot de passe de son organisation.
La douleur est partagée avec les équipes informatiques puisque la réinitialisation des mots de passe par un nombre plus important de tickets de service et d'appels d'assistance. Malgré cela, il est communément admis que tous les mots de passe devraient expirer après une période de temps définie.
Les réinitialisations de mot de passe peuvent être frustrantes pour les utilisateurs finaux. Personne n'aime être interrompu par la notification « il est temps de changer votre mot de passe » - et on aime encore moins lorsque les nouveaux mots de passe que l'on créés sont rejetés par la politique de mot de passe de son organisation. La douleur est partagée avec les équipes informatiques puisque la réinitialisation des mots de passe par un nombre plus important de tickets de service et d'appels d'assistance. Malgré cela, il est communément admis que tous les mots de passe devraient expirer après une période de temps définie.
Pourquoi en est-il ainsi ? Avons-nous vraiment besoin d'expirations de mot de passe ? Nous examinerons la raison pour laquelle les expirations existent et pourquoi définir des mots de passe avec « ne jamais expirer » pourrait éviter des prises de tête, mais ne pas se révéler être la meilleure idée en termes de cybersécurité.
Pourquoi avons-nous des mots de passe qui expirent ?
La politique traditionnelle de réinitialisation des mots de passe après 90 jours découle de la nécessité de se protéger contre les attaques par force brute. Les organisations stockent généralement les mots de passe sous forme de hachages, qui sont des versions brouillées des mots de passe réels créés à l'aide de fonctions de hachage cryptographiques (CHF). Lorsqu'un utilisateur saisit son mot de passe, celui-ci est haché et comparé au hachage stocké. Les attaquants qui tentent de craquer ces mots de passe doivent deviner le bon en soumettant les mots de passe potentiels au même algorithme de hachage et en comparant les résultats. Le processus peut être rendu encore plus compliqué pour les attaquants grâce à des techniques telles que le salage, qui consiste à ajouter des chaînes aléatoires aux mots de passe avant de les hacher.
Les attaques par force brute dépendent de plusieurs facteurs, notamment de la puissance de calcul dont dispose l'attaquant et de la force du mot de passe. La période de réinitialisation de 90 jours a été considérée comme une approche équilibrée permettant de contrarier les attaques par force brute sans imposer des changements trop fréquents aux utilisateurs. Les progrès technologiques ont toutefois réduit le temps nécessaire pour déchiffrer les mots de passe, ce qui incite à réévaluer cette politique. Malgré cela, l'expiration de 90 jours reste une recommandation dans de nombreuses normes de conformité, y compris PCI.
Pourquoi certaines organisations se sont-elles débarrassées des délais d'expiration ?
L'un des principaux arguments contre l'expiration régulière des mots de passe est qu'elle peut conduire à la réutilisation de mots de passe faibles. Les utilisateurs n'apportent souvent que de légères modifications à leurs mots de passe existants. En remplaçant par exemple « Motdepasse1! » par « Motdepasse2! ». Cette pratique compromet les avantages d'un changement de mot de passe en termes de sécurité. Le vrai problème ici n'est pas l'acte de réinitialisation des mots de passe en lui-même, mais plutôt la politique de l'organisation qui autorise les mots de passe faibles.
La raison principale pour laquelle les organisations ont opté pour des mots de passe « n'expirant jamais » est la réduction de la charge de travail de l'IT et du service d'assistance. Le coût et la charge liés à la réinitialisation des mots de passe pour les helpdesks informatiques sont importants. Gartner estime qu'entre 20 à 50 % des appels au service d'assistance informatique sont liés à la réinitialisation des mots de passe - chaque réinitialisation coûtant environ 70 $ en main d'oeuvre selon Forrester. Tout ceci s'accumule, en particulier car les utilisateurs oublient fréquemment leurs mots de passe après avoir été obligés d'en créer de nouveaux.
Certaines organisations peuvent donc être tentées d'obliger les utilisateurs finaux à créer un seul mot de passe très fort et à configurer les mots de passe afin qu'ils n'expirent jamais, dans le but de réduire la charge de travail de l'IT et les coûts de réinitialisation.
Quels sont les risques liés aux mots de passe qui n'expirent jamais ?
Le fait d'avoir un mot de passe fort et de ne jamais le changer peut donner à quelqu'un un faux sentiment de sécurité. Un mot de passe fort n'est pas à l'abri des menaces ; il peut être vulnérable aux tentatives d'hameçonnage, aux violations de données ou à d'autres types d'incidents cybernétiques sans que l'utilisateur s'en rende compte. Le Breached Password Report de Specops révèle que 83 % des mots de passe compromis répondent aux normes réglementaires en matière de longueur et de complexité.
Une organisation peut opter pour une politique de mot de passe forte dans laquelle chaque utilisateur final est obligé de créer une passphrase forte capable de résister aux attaques par force brute. Mais que se passe-t-il si un employé décide de réutiliser son mot de passe pour Facebook, Netflix et toutes ses autres applications personnelles ? Le risque de compromission du mot de passe augmente alors considérablement, quelles que soient les mesures de sécurité internes mises en place par l'organisation. Une enquête menée par LastPass révèle que 91 % des utilisateurs finaux comprenaient le risque lié à la réutilisation des mots de passe, mais que 59 % d'entre eux le faisaient quand même.
Un autre risque lié aux mots de passe « n'expirant jamais » est qu'un attaquant pourrait utiliser un ensemble d'informations d'identification compromises pendant une longue période. L'institut Ponemon a constaté qu'il faut généralement 207 jours à une organisation pour identifier une violation. Bien que l'obligation d'expiration du mot de passe puisse être bénéfique dans ce cas, il est probable qu'un attaquant aurait déjà atteint ses objectifs au moment où le mot de passe expire. Par conséquent, le NIST et d'autres organismes conseillent aux organisations de ne définir des mots de passe n'expirant jamais uniquement si elles disposent de mécanismes permettant d'identifier les comptes compromis.
Comment détecter les mots de passe compromis
Les organisations doivent adopter une stratégie globale en matière de mots de passe allant bien au-delà de l'expiration régulière. Cela comprend le fait de guider les utilisateurs pour créer des passphrases fortes d'au moins 15 caractères avec différents types de caractères. Une telle politique peut réduire considérablement la vulnérabilité aux attaques par force brute. Il est également possible d'encourager les utilisateurs à créer des mots de passe plus longs grâce à la durée de vie basée sur la longueur, qui permet d'utiliser des mots de passe plus longs et plus robustes pendant des périodes prolongées avant qu'ils n'expirent. Cette approche élimine la nécessité d'un délai d'expiration unique, à condition que les utilisateurs respectent la politique de l'organisation en matière de mots de passe.
Image montrant la création de mots de passe plus robustes et le vieillissement basé sur la longueur
Cependant, même les mots de passe forts peuvent être compromis et des mesures doivent être mises en place pour les détecter. Une fois compromis, le temps de craquage d'un mot de passe dans le coin inférieur droit du tableau ci-dessus se mue en « immédiatement ». Les organisations ont besoin d'une stratégie unique pour s'assurer qu'elles se protègent contre les mots de passe faibles et compromis.
Si vous souhaitez gérer tous ces éléments de manière automatisée à partir d'une interface simple à utiliser au sein d'Active Directory, Specops Password Policy pourrait être un outil précieux dans votre arsenal de cybersécurité. Grâce à son service Breached Password Protection, Specops Password Policy peut vérifier et bloquer en permanence l' utilisation de plus de 4 milliards de mots de passe uniques compromis connus. Découvrez la solution par vous-même avec une démo en direct
Sur le même thème
Voir tous les articles Cybersécurité