Se connecter
Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
La sécurité des mots de passe évolue - et les nouvelles lignes directrices du National Institute of Standards and Technology (NIST) rejettent les pratiques obsolètes au profit de protections plus efficaces. Vous n'avez pas le temps de lire les 35 000 mots des lignes directrices ? Aucun problème. Voici les six points essentiels du nouveau guide du NIST que votre organisation doit connaître pour créer des politiques de mots de passe efficaces.
Longueur du mot de passe > complexité du mot de passe
Pendant des années, les organisations ont créé des politiques de mots de passe qui suivaient une formule rigide - exigeant des utilisateurs qu'ils incluent des lettres majuscules et minuscules, des chiffres et des symboles - afin de créer des mots de passe difficiles à déchiffrer. Mais les recherches du NIST mettent en évidence une faille dans cette approche : les humains sont prévisibles et suivent souvent des modèles prévisibles (et faciles à deviner) lorsqu'ils développent des mots de passe « complexes ».
Par exemple, les utilisateurs ont souvent tendance à :
- Commencer leur mot de passe par une majuscule (par exemple, welcome456 devient Welcome456)
- Terminer leur mot de passe par un chiffre ou un symbole (par exemple, Welcome456, devient Welcome2024 !!)
- Échanger des caractères communs (par exemple, WelcomeToXYZCorp devient W3lcomeToXYZCorp)
Qu'est-ce que cela signifie ? Les mots de passe qui peuvent paraître complexes (et qui respectent les exigences de la politique en matière de mots de passe) sont en réalité relativement faciles à décrypter par les pirates, car ils suivent un schéma prévisible.
Pour aider les utilisateurs à créer des mots de passe plus forts, le NIST recommande d'imposer la longueur du mot de passe plutôt que sa complexité. Au lieu de demander aux utilisateurs de trouver une combinaison aléatoire et difficile à retenir de lettres, de chiffres et de symboles, incitez-les à créer des mots de passe plus longs ou des passphrases qui seront faciles à retenir mais plus difficiles à deviner pour les pirates.
Les meilleures passphrases combinent des mots sans rapport entre eux en une seule passphrase plus longue. Par exemple, une phrase de passe comme « llama-shoehorn-trumpet7 » sera beaucoup plus facile à retenir pour un utilisateur qu'un mot de passe aléatoire comme « HPn&897*k » - et il sera plus difficile à pirater qu'un mot de passe qui suit un modèle prévisible.
Permettre des mots de passe plus longs
S'appuyant sur les orientations ci-dessus, la dernière révision du NIST confirme ce que les chercheurs en sécurité soupçonnaient depuis longtemps : la longueur du mot de passe est la mesure de sécurité la plus importante concernant les mots de passe. Les conclusions de Specops) renforcent cette conclusion, mais de nombreuses entreprises continuent de compromettre leur sécurité en imposant des limites de caractères pour les mots de passe.
Afin de maximiser les protections de sécurité offertes par les mots de passe, vos politiques de mots de passe doivent être en mesure de prendre en compte des passphrases longues. Le NIST recommande de prendre en charge jusqu'à 64 caractères, ce qui va bien au-delà des besoins de la plupart des utilisateurs, mais qui est très important pour ceux qui privilégient une sécurité maximale.
Si des mots de passe plus longs sont plus difficiles à décrypter, ils ne sont pas pour autant invincibles - même une passphrase de 64 caractères peut être compromise par la réutilisation du mot de passe ou le vol par un logiciel malveillant. Cela dit, les mots de passe longs offrent une meilleure protection que leurs équivalents plus courts. Donnez à vos utilisateurs la possibilité d'utiliser une passphrase qui réponde à leurs besoins en matière de sécurité, qu'il s'agisse de 15 ou de 50 caractères.
Mettre en oeuvre la MFA
Les recherches de Microsoft montrent que 99 % des comptes piratés n'avaient pas implémenté de MFA. Cependant, de nombreuses organisations continuent de considérer la MFA comme un luxe plutôt que comme une nécessité. Le NIST ne mâche pas ses mots dans ses conseils à ce sujet : la MFA n'est plus une option, c'est une ligne de défense indispensable qui prend le relais lorsque les mots de passe échouent inévitablement. Pour se conformer aux directives du NIST, il ne faut pas s'accrocher à l'authentification à facteur unique. En mettant en oeuvre la MFA, vous comblerez une faille de sécurité régulièrement exploitée.
Éviter les changements fréquents de mot de passe
Les utilisateurs finaux n'apprécient pas d'être contraints de changer leurs mots de passe. Ils seront donc ravis d'apprendre que le NIST recommande aux organisations de renoncer à l'expiration obligatoire des mots de passe, à moins qu'il n'y ait des preuves de compromission. Le NIST affirme que les changements fréquents de mot de passe conduisent souvent à un affaiblissement, et non à un renforcement, de la sécurité, car les utilisateurs se contentent de modifications minimales de leur mot de passe pour satisfaire à la « nouvelle » exigence de mot de passe.
Pour autant, l'abandon total des politiques d'expiration des mots de passe pourrait aller trop loin dans la direction opposée. Chez Specops, nous recommandons une approche nuancée : allonger le délai entre les changements requis tout en maintenant les protections essentielles. Lorsque les utilisateurs créent des mots de passe robustes et que les organisations déploient des outils de détection des compromissions, des fenêtres d'expiration plus longues deviennent non seulement acceptables, mais préférables.
Empêcher l'utilisation de mots de passe déjà compromis
La dernière recommandation du NIST est simple : les organisations doivent confronter les nouveaux mots de passe avec les bases de données d'informations compromises connues. Pourquoi ? En effet, ces mots de passe exposés deviennent des passe-partout pour les attaquants, qui s'appuient sur des listes massives d'informations d'identification compromises pour accélérer leurs attaques.
Les utilisateurs sont rarement au courant quand leurs mots de passe préférés ont été exposés lors de compromissions précédentes. Ils peuvent donc réutiliser en toute confiance un mot de passe qui leur semble solide, sans savoir qu'il circule déjà dans des bases de données criminelles. En bloquant de manière proactive ces mots de passe compromis, votre organisation peut mettre fin à un vecteur d'attaque favori des pirates. avant qu'ils ne puissent l'exploiter.
Vous souhaitez évaluer l'exposition de votre organisation ? Notre outil gratuit Specops Password Auditor vous offre une visibilité instantanée sur les vulnérabilités de vos mots de passe Active Directory. Téléchargez Specops Password Auditor gratuitement ici.
Abandonner les indices de mot de passe et les autres méthodes de récupération basées sur la connaissance
Quel est le nom de votre premier animal de compagnie ? Quelle était la mascotte de votre lycée ? Quel est le nom de jeune fille de votre mère ? Les indices de mot de passe et les questions de sécurité de ce type ont fait leur temps. Les dernières recommandations du NIST invitent les organisations à renoncer à ces méthodes de récupération traditionnelles parce que nos vies en ligne les ont rendues obsolètes. Pensez à la quantité d'informations personnelles qui circulent librement sur les réseaux sociaux. Les données qui semblaient autrefois relever de la vie privée se trouvent aujourd'hui à la vue de tous, attendant d'être collectées et exploitées.
En lieu et place des indices, le NIST propose des alternatives comme l'inclusion de liens de récupération sécurisés par courrier électronique et la vérification MFA lors des réinitialisations de mot de passe. Ces approches permettent aux utilisateurs de valider leur identité en accédant physiquement à des appareils ou à des comptes plutôt qu'en utilisant des données personnelles faciles à découvrir.
Vous souhaitez aligner votre organisation sur les directives du NIST ? Essayez gratuitement Specops Password Policy et simplifiez l'adoption de ces six étapes pour votre équipe informatique.
Sur le même thème
Voir tous les articles Cybersécurité
Par La rédaction
6 min.Par Clément Bohic
Par Philippe Leroy
Par Clément Bohic
Par Clément Bohic
