Microsoft ne recommande plus de faire expirer les mots de passe tous les 60 jours
Obliger les utilisateurs à changer régulièrement leur mot de passe ne fait plus partie des recommandations de Microsoft. L’éditeur est en passe de retirer cette préconisation de son guide de sécurité destiné aux administrateurs système Windows.
Microsoft justifie sa décision en expliquant que cette mesure n’est plus efficace aujourd’hui et qu’il y en a d’autres à prendre en priorité. Pire, ce renouvellement obligatoire, dont la fréquence conseillée est de 60 jours, peut même avoir l’effet inverse de celui visé.
« Quand les gens sont obligés de changer de mots de passe, ils font trop souvent des changements mineurs et prévisibles de leurs mots de passe existants, et peuvent même les oublier », indique Aaron Margosis, consultant chez Microsoft.
Votre compte protégé par le mot de passe « Toto19–03 » ne résistera pas longtemps si votre mot de passe précédent « Toto19–02 » a fuité. Soit le malandrin qui veut accéder à votre compte le déduira tout seul, soit une attaque par force brute aura tôt fait de le tester. Et puis si c’est « Toto19–03 » qui fuite directement, le malandrin sera libre d’utiliser votre compte pendant 60 jours maximum, s’il n’est pas repéré par la patrouille.
« Si une organisation a mis en place une liste noire de mots de passe (« azerty », « 123456 », ndr), une authentification à deux facteurs, une détection d’attaques par prédictions et une détection de tentatives de connexions anormales, a-t-elle besoin d’une expiration automatique des mots de passe ? », fait valoir Aaron Margosis, dont la réponse est donc « non ».
Le spécialiste de la sécurité insiste sur le fait qu’il y a de bien meilleures mesures à prendre, dont celles qu’il cite justement. Il n’empêche pas les entreprises de mettre encore en œuvre un renouvellement obligatoire, mais ça ne fait plus partie du socle essentiel.
Pour rappel, un bon mot de passe est un mot de passe unique, long et complexe, tout en étant facile à retenir (pour vous). Vous trouverez plus de conseils et d’explications dans notre dossier sur le sujet.
@CLang
« prolégomènes »
J’ai compris de wiki que les prolégomènes seraient à un manuscrit ce les incipits sont à une antienne.
J’ai bon ?
@Clément34000
Ne te fatigue pas avec ce genre d’individu.
C’est juste un pauvre cuistre mal dans sa peau qui se sent un peu exister en essayant d’étaler son complexe de supériorité.
Et je te rassure, ce qu’il raconte n’est compréhensible que par son cerveau malade.
Une bonne chose contre les mythes concernant la sécurité des mots des passe.
Une nouvelle étape serait d’arrêter d’exiger « Au moins un chiffre et une majuscule » qui au lieu de complexifier le mot de passe sont une super indication pour réduire considérablement la taille des dictionnaires utilisé par une attaque de force brute.
@CLang Un long mot de passe constitué de plusieurs mots aléatoires est plus robuste qu'un mot de passe court avec des caractères spéciaux. Et c'est plus facile à retenir.
EDIT: Évidemment ajouter des caractères spéciaux dans le long mot de passe constitués de plusieurs mots aléatoire le rendra peut-être encore plus costaux, mais le problème c'est que beaucoup de sites exigent des majuscules et caractères spéciaux mais ont une limite ridicule de caractères et c'est ultra con.
@CLang Je ne sais pas très bien ce qu'il voulait dire exactement, car il n'a peut-être pas été plus loin dans le raisonnement.
Ce qu'il voulait peut-être dire, c'est ce que ce genre de démarche ont tendance à faire remplacer les gens certaines lettres par certains chiffre ou caractères spéciaux et c'est généralement souvent les mêmes. Donc cela peut en effet réduire les dictionnaires en utilisant d'abord les cas classiques de remplacement de lettre par caractères spéciaux.
o -> 0
a -> @
e -> 3
P@$$w0rd -> Password
etc...
Je ne sais pas si ça va va vraiment réduire les dictionnaires, mais je pense qu'en général, ça n'aide pas vu la manière dont les personnes vont utiliser les caractères spéciaux et majuscule qui est souvent prévisible.
Un autre exemple : au lieu de nounours, ils vont utiliser Nounours*1 car ils auront été forcés à utiliser une majuscule, un chiffre et un caractère spécial et ils voudront que cela reste facile à retenir. La différence de sécurité entre ces deux mots de passe est négligeable.
C'est pour ça que ces règles forcées m'énervent car elles ne servent généralement à rien et n'aident pas ceux qui ont tendance à créer faible mot de passe. Même, comme tu viens d'ajouter, celle d'imposer des mots aléatoires. Et non, je ne serais pas surpris de voir le résultat...
@macinoe
« qui au lieu de complexifier le mot de passe sont une super indication pour réduire considérablement la taille des dictionnaires utilisé par une attaque de force brute. »
Là, je ne comprends pas bien ;)
En quoi me forcer à utiliser BigDidou&1234 :rose: au lieu de bigdidou1234 diminue la taille du dictionnaire ?
C’est un truc démontré quelque part ?
@CLang
« Les deux propositions sont aussi faciles à inférer dans ton exemple. ? »
Zut.
Il va falloir que je fasse confiance aux mots de passe que me propose 1Password ou ça sert aussi à rien ?
@CLang
« Activiter l’identification à deux facteurs quand elle est disponible est aussi une pratique recommandable. »
J’en suis convaincu.
@Bigdidou
Tout simplement parce que ça permet de virer du dictionnaire les mots de passe ne comportant ni chiffre ni lettre majuscule.
Et comme en plus, les gens font rarement plus que ce qu’on leur demande, tu peux même limiter la sélection aux mots de passe ne comportant qu’un seul chiffre, qu’une seule majuscule et comportant exactement le nombre de caractère minimum demandé.
Bref ça réduit le nombre de possibilité de mot de passe de manière drastique par rapport à des mots de passe dont on ne connait rien.
Non c’est faux..
Pourquoi je me ferais chier à argumenter plus que toi ?
Euh... Parce que je n’ai aucun temps à perdre avec un cuistre complètement cinglé pardi.
Sur ce, bonne nuit le dingo.
Bonjour, sinon l’ANSSI a fait deux super articles sur la problématique des mdp
https://www.ssi.gouv.fr/guide/mot-de-passe/
https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
Enfin !
Pages