Microsoft ne recommande plus de faire expirer les mots de passe tous les 60 jours

Stéphane Moussie |

Obliger les utilisateurs à changer régulièrement leur mot de passe ne fait plus partie des recommandations de Microsoft. L’éditeur est en passe de retirer cette préconisation de son guide de sécurité destiné aux administrateurs système Windows.

Image Marco Verch (CC BY 2.0)

Microsoft justifie sa décision en expliquant que cette mesure n’est plus efficace aujourd’hui et qu’il y en a d’autres à prendre en priorité. Pire, ce renouvellement obligatoire, dont la fréquence conseillée est de 60 jours, peut même avoir l’effet inverse de celui visé.

« Quand les gens sont obligés de changer de mots de passe, ils font trop souvent des changements mineurs et prévisibles de leurs mots de passe existants, et peuvent même les oublier », indique Aaron Margosis, consultant chez Microsoft.

Votre compte protégé par le mot de passe « Toto19–03 » ne résistera pas longtemps si votre mot de passe précédent « Toto19–02 » a fuité. Soit le malandrin qui veut accéder à votre compte le déduira tout seul, soit une attaque par force brute aura tôt fait de le tester. Et puis si c’est « Toto19–03 » qui fuite directement, le malandrin sera libre d’utiliser votre compte pendant 60 jours maximum, s’il n’est pas repéré par la patrouille.

« Si une organisation a mis en place une liste noire de mots de passe (« azerty », « 123456 », ndr), une authentification à deux facteurs, une détection d’attaques par prédictions et une détection de tentatives de connexions anormales, a-t-elle besoin d’une expiration automatique des mots de passe ? », fait valoir Aaron Margosis, dont la réponse est donc « non ».

Le spécialiste de la sécurité insiste sur le fait qu’il y a de bien meilleures mesures à prendre, dont celles qu’il cite justement. Il n’empêche pas les entreprises de mettre encore en œuvre un renouvellement obligatoire, mais ça ne fait plus partie du socle essentiel.

Pour rappel, un bon mot de passe est un mot de passe unique, long et complexe, tout en étant facile à retenir (pour vous). Vous trouverez plus de conseils et d’explications dans notre dossier sur le sujet.

avatar Spinnozza | 

« Obliger les utilisateurs à changer régulièrement leur mot de passe ne fait plus partie des recommandations de Microsoft. L’éditeur est en passe de retirer cette préconisation de son guide de sécurité »
Voilà une nouvelle primordiale.
Si on était dans un petit journal provincial papier, cette nouvelle serait la rubrique des chiens écrasés.

Épatant.

avatar brunok | 

Je trouve cette nouvelle très intéressante. Si cela pouvait faire prendre conscience à certain de l'inanité de cette ancienne recommandation, un grand pas vers plus de sécurité serait fait.
Quand il faut changer tous les 2 mois plusieurs mots de passe, il est clair que la complexité du mot de passe n'est plus la priorité.

avatar raphta | 

+1
Ça fait des années que j’entends les experts en sécurité critiquer cette mesure.
J’en suis victime depuis 10 ans...
Reste encore à attendre que les entreprises suivent ces recommandations.

avatar Bigdidou | 

@Spinnozza

« Voilà une nouvelle primordiale. »

Ben oui.

avatar occam | 

@Spinnozza

"Si on était dans un petit journal provincial papier, cette nouvelle serait la rubrique des chiens écrasés. "

Doit-on vous rappeler que nul autre que Pierre Desproges donna ses lettres de noblesse à cette rubrique ? Et qu’il la rebaptisa « la rubrique des chats noyés » ?
À l’Aurore, ne vous déplaise ?

« Avant de percevoir clairement l'éventail infini de mes possibilités journalistiques, qui devaient m'amener par la suite des chiens écrasés aux chats noyés, puis à la télévision qui montra à la France entière quel beau visage de prince pirate se cachait derrière la plume du canard (c'est pas une partouze de palmipèdes, c'est une licence poétique) — …
Avec le recul nécessaire, disé-je, il m'apparaît un peu tard que je n'aurais jamais dû quitter la rubrique des chiens écrasés. J'y excellais. Le mot n'est pas trop fort. Je peux bien l'avouer aujourd'hui sans fausse modestie. Pour alimenter jour après jour ma rubrique des chiens écrasés quoi qu'il arrive, il m'arrivait d'écraser les chiens moi-même !
Par la suite, j'ai changé de journal. Là on m'a confié la rubrique des enfants martyrs. J'en ris encore. »

——Pierre Desproges, Tribunal des flagrants délires, 28 octobre 1982

avatar rua negundo | 

@occam

Merci pour ce bel extrait de Desproges ?

avatar Bruno de Malaisie | 

@occam

Merci pour ce texte!!!
Le tribunal des flagrants délires!
L’oreille en coin!
“Pour ceux qui ont quelque chose entre les oreilles!”
Toute mon adolescence!

avatar FrantzR | 

Enfin un peu de bon sens.
Dans ma boîte, on suit ces recommandations de sécurité qui poussent tout le monde à écrire son mot de passe sur un post-it soigneusement caché sous le clavier...

avatar fte | 

J’espère que le mot de passe de mon compte office école va arrêter d’expirer du coup, c’est très chiant. Et mon mot de passe fait 30 caractères, donc bon, hein.

avatar dig79 | 

@fte
Ça n’est pas la longueur qui compte, comme pour autre chose ?

avatar fte | 

@dig79

That’s not what she said.

avatar occam | 

@fte

« “I think your wife exaggerated just a leetle, Morris,” she said, kneeling over him, her long cool fingers busy.
Ars longa, in life shorter,” Morris murmured. »

——David Lodge, Small World, 1984.

avatar raphta | 

@dig79

En fait si,... le premier critère pour un bon mot de passe, c’est la longueur.
D’ailleurs les spécialistes parlent de passphrase plutôt que password.
Pour le reste je laisserai les dames juger ?

avatar Deckard | 

Toutes ces obligations autour du choix d'un mot de passe me pompe l'air... C'est une bonne nouvelle cette histoire.

avatar Deckard | 

Ce n'est pas un problème de bonne ou mauvaise pratique, mais de sites qui forcent l'utilisateur à utiliser certains caractères ou à empêcher d'en utiliser certains.
EDIT: ou forcer à autre chose encore...

avatar Deckard | 

Je sais choisir mes mots de passe moi-même, merci ;)

avatar Deckard | 

T'es un bon toi :D

avatar Deckard | 

En quoi c'est nombriliste ? Mon mot de passe très bon ou très mauvais n'a d'impact que sur moi. Ne pas respecter le code de la route a un impact sur les autres, ce n'est pas la même chose :D Tu voulais peut-être que je partage mon pot de passe pour que je ne sois pas si égoïste ?

Pages

CONNEXION UTILISATEUR