Microsoft ne recommande plus de faire expirer les mots de passe tous les 60 jours

Stéphane Moussie |

Obliger les utilisateurs à changer régulièrement leur mot de passe ne fait plus partie des recommandations de Microsoft. L’éditeur est en passe de retirer cette préconisation de son guide de sécurité destiné aux administrateurs système Windows.

Image Marco Verch (CC BY 2.0)

Microsoft justifie sa décision en expliquant que cette mesure n’est plus efficace aujourd’hui et qu’il y en a d’autres à prendre en priorité. Pire, ce renouvellement obligatoire, dont la fréquence conseillée est de 60 jours, peut même avoir l’effet inverse de celui visé.

« Quand les gens sont obligés de changer de mots de passe, ils font trop souvent des changements mineurs et prévisibles de leurs mots de passe existants, et peuvent même les oublier », indique Aaron Margosis, consultant chez Microsoft.

Votre compte protégé par le mot de passe « Toto19–03 » ne résistera pas longtemps si votre mot de passe précédent « Toto19–02 » a fuité. Soit le malandrin qui veut accéder à votre compte le déduira tout seul, soit une attaque par force brute aura tôt fait de le tester. Et puis si c’est « Toto19–03 » qui fuite directement, le malandrin sera libre d’utiliser votre compte pendant 60 jours maximum, s’il n’est pas repéré par la patrouille.

« Si une organisation a mis en place une liste noire de mots de passe (« azerty », « 123456 », ndr), une authentification à deux facteurs, une détection d’attaques par prédictions et une détection de tentatives de connexions anormales, a-t-elle besoin d’une expiration automatique des mots de passe ? », fait valoir Aaron Margosis, dont la réponse est donc « non ».

Le spécialiste de la sécurité insiste sur le fait qu’il y a de bien meilleures mesures à prendre, dont celles qu’il cite justement. Il n’empêche pas les entreprises de mettre encore en œuvre un renouvellement obligatoire, mais ça ne fait plus partie du socle essentiel.

Pour rappel, un bon mot de passe est un mot de passe unique, long et complexe, tout en étant facile à retenir (pour vous). Vous trouverez plus de conseils et d’explications dans notre dossier sur le sujet.

avatar Spinnozza | 

« Obliger les utilisateurs à changer régulièrement leur mot de passe ne fait plus partie des recommandations de Microsoft. L’éditeur est en passe de retirer cette préconisation de son guide de sécurité »
Voilà une nouvelle primordiale.
Si on était dans un petit journal provincial papier, cette nouvelle serait la rubrique des chiens écrasés.

Épatant.

avatar brunok | 

Je trouve cette nouvelle très intéressante. Si cela pouvait faire prendre conscience à certain de l'inanité de cette ancienne recommandation, un grand pas vers plus de sécurité serait fait.
Quand il faut changer tous les 2 mois plusieurs mots de passe, il est clair que la complexité du mot de passe n'est plus la priorité.

avatar raphta | 

+1
Ça fait des années que j’entends les experts en sécurité critiquer cette mesure.
J’en suis victime depuis 10 ans...
Reste encore à attendre que les entreprises suivent ces recommandations.

avatar Bigdidou | 

@Spinnozza

« Voilà une nouvelle primordiale. »

Ben oui.

avatar occam | 

@Spinnozza

"Si on était dans un petit journal provincial papier, cette nouvelle serait la rubrique des chiens écrasés. "

Doit-on vous rappeler que nul autre que Pierre Desproges donna ses lettres de noblesse à cette rubrique ? Et qu’il la rebaptisa « la rubrique des chats noyés » ?
À l’Aurore, ne vous déplaise ?

« Avant de percevoir clairement l'éventail infini de mes possibilités journalistiques, qui devaient m'amener par la suite des chiens écrasés aux chats noyés, puis à la télévision qui montra à la France entière quel beau visage de prince pirate se cachait derrière la plume du canard (c'est pas une partouze de palmipèdes, c'est une licence poétique) — …
Avec le recul nécessaire, disé-je, il m'apparaît un peu tard que je n'aurais jamais dû quitter la rubrique des chiens écrasés. J'y excellais. Le mot n'est pas trop fort. Je peux bien l'avouer aujourd'hui sans fausse modestie. Pour alimenter jour après jour ma rubrique des chiens écrasés quoi qu'il arrive, il m'arrivait d'écraser les chiens moi-même !
Par la suite, j'ai changé de journal. Là on m'a confié la rubrique des enfants martyrs. J'en ris encore. »

——Pierre Desproges, Tribunal des flagrants délires, 28 octobre 1982

avatar rua negundo | 

@occam

Merci pour ce bel extrait de Desproges ?

avatar Bruno de Malaisie | 

@occam

Merci pour ce texte!!!
Le tribunal des flagrants délires!
L’oreille en coin!
“Pour ceux qui ont quelque chose entre les oreilles!”
Toute mon adolescence!

avatar FrantzR | 

Enfin un peu de bon sens.
Dans ma boîte, on suit ces recommandations de sécurité qui poussent tout le monde à écrire son mot de passe sur un post-it soigneusement caché sous le clavier...

avatar fte | 

J’espère que le mot de passe de mon compte office école va arrêter d’expirer du coup, c’est très chiant. Et mon mot de passe fait 30 caractères, donc bon, hein.

avatar dig79 | 

@fte
Ça n’est pas la longueur qui compte, comme pour autre chose ?

avatar fte | 

@dig79

That’s not what she said.

avatar occam | 

@fte

« “I think your wife exaggerated just a leetle, Morris,” she said, kneeling over him, her long cool fingers busy.
Ars longa, in life shorter,” Morris murmured. »

——David Lodge, Small World, 1984.

avatar raphta | 

@dig79

En fait si,... le premier critère pour un bon mot de passe, c’est la longueur.
D’ailleurs les spécialistes parlent de passphrase plutôt que password.
Pour le reste je laisserai les dames juger ?

avatar Deckard | 

Toutes ces obligations autour du choix d'un mot de passe me pompe l'air... C'est une bonne nouvelle cette histoire.

avatar Deckard | 

Ce n'est pas un problème de bonne ou mauvaise pratique, mais de sites qui forcent l'utilisateur à utiliser certains caractères ou à empêcher d'en utiliser certains.
EDIT: ou forcer à autre chose encore...

avatar Deckard | 

Je sais choisir mes mots de passe moi-même, merci ;)

avatar Deckard | 

T'es un bon toi :D

avatar Deckard | 

En quoi c'est nombriliste ? Mon mot de passe très bon ou très mauvais n'a d'impact que sur moi. Ne pas respecter le code de la route a un impact sur les autres, ce n'est pas la même chose :D Tu voulais peut-être que je partage mon pot de passe pour que je ne sois pas si égoïste ?

avatar Deckard | 

Beaucoup de règles sont dépassées et aussi identifiées comme mauvaise pratique. Alors obliger à les suivre si elles sont mauvaises. c'est très con aussi. Donc oui tu te contredis car on a un exemple ici de mauvaise pratique et elle fait partie de celles pour lesquels je râle, mais je suis quand même égoïste car je ne veux pas la suivre. Ou alors je peux râler sur celle-ci mais aucune autre ?

Chacun est responsable de son mot de passe et peut se renseigner sur les bonnes pratiques. Par contre, cela ne me dérange pas qu'un site qui analyse un mot de passe et qui explique pourquoi il le considère mauvais en et conseillant ce qu'il considère être de bonnes pratiques. Libre à chacun de les suivre et tant pis pour ceux qui s'en foutent.

avatar Deckard | 

En gros : « Suis les règles et tais-toi. Je sais mieux que toi, c'est pour ton bien et les autres. Ne réfléchis pas et tant pis si c'était de mauvaises règles, tu dois juste fais comme je te dis ».

avatar dexter | 

@Deckard

« En quoi c'est nombriliste ? Mon mot de passe très bon ou très mauvais n'a d'impact que sur moi. »

Pour un mot de passe sur un site ou service à usage personnel, tout à fait.

Pour un mot de passe de compte utilisateur sur un système d’information professionnel, non. Le niveau de sécurité d’un SI se mesure à la sécurité de son élément le plus faible. Choisir et exposer un mot de passe trivial c’est donc exposer l’organisation à des attaques. Un fait de négligence pour des comptes sans privilège spécifique, cela devrait être une faute grave pour des comptes donnant accès à des ressources critiques.

avatar Deckard | 

@dexter
Je ne parlais que de comptes personnels.

avatar Bigdidou | 

@dexter

« Pour un mot de passe sur un site ou service à usage personnel, tout à fait. »

Même ça, c’est discutable ;)

avatar Deckard | 

Sinon, tu reconnais dans un autre commentaire que la pratique de forcer à changer de mot de passe fréquemment est mauvaise mais ici tu dis que je suis égoïste à ne pas aimer qu'un site m'oblige certaines choses sur les mots de passe... En quoi ces pratiques autres que celle-ci ne seraient-elle pas mauvaises non plus ?

Tu te contredis... je crois que tu n'as pas toutes tes frites dans le même sachet...

avatar raphta | 

@CLang

Les contraintes limitent le champ des possibilités, et donc l’envergure nécessaire des attaque par brute force.

avatar fredsoo | 

J’ai certain mot de passe depuis 7 ans

avatar Bigdidou | 

Ceci est un jour de joie absolue.
Dès que ce sera rentré dans le crâne de notre SCII, je ne vais plus avoir à saisir tous les mois le mot de passe de ma boîte mail sur tous les appareils.
Sans compter les retours de vacances rock’n roll quand j’avais un Mac (impossible d’y saisir un nouveau mot de passe périmé pour rentrer sur le bureau virtuel).

avatar athao | 

Microsoft n'est pas innovante à ce sujet ??https://pages.nist.gov/800-63-FAQ/#q-b5

avatar Xalio | 

Et dire que les solutions existent pour ne plus avoir de mot de passe du tout...

avatar Mac13 | 

Astuce pour ne pas oublier le mot de passe : convertir les lettres en chiffres des touches de numérotation de téléphone... comme ABC c'est 2 DEF c'est 3... Ex : Luc => 582 ou bien L88C, mais encore en sens inversé ou additionner/soustraire par votre propre chiffre secret ou fétiche...

avatar raphta | 

@Mac13

Chaque astuce perd de sa valeur si elle est utilisée par un grand nombre.
Le plus important c’est d’avoir son mot de passe à soi, très long.
Le reste n’a aucune importance.

avatar showmehowtolive | 

C’est clair. Avec leur changement les gens finissent soit par utiliser un mdp très simple soit à le noter sur un papier.

avatar Clément34000 | 

Faut pas se prendre la tête, faut changer radicalement le mot de passe tous les ans surtout si le mot de passe sert à plusieurs usages, puis c’est tout.

avatar Clément34000 | 

@CLang

Incipit ? Quel rapport avec moi ?

avatar Clément34000 | 

@CLang

Bah non, je ne vois toujours pas le sens avec ce que j’ai dit mdr. Trop compliqué pour moi si tu trouves un sens à ce que tu dis. Mais surtout ne change rien, persiste même lol

Pages

CONNEXION UTILISATEUR