Les arguments contre la mise en place de l’expiration du mot de passe
Microsoft détaille deux raisons principales pour lesquelles les expirations de mot de passe programmées devraient être évitées. Premièrement, les criminels ne seront pas dissuadés par votre politique de changement de mots de passe tous les 90 jours. Les acteurs mal intentionnés savent doivent exploiter rapidement les informations d'identification volées avant que les comptes compromis ne soient désactivés ou que les mots de passe ne soient modifiés. Deuxièmement, les utilisateurs finaux se lassent facilement des changements inutiles et finissent par recourir à des modifications prévisibles des mots de passe existants. Microsoft explique que, lorsque les utilisateurs sont obligés de changer périodiquement leurs mots de passe, ils sont beaucoup plus enclins à utiliser des mots de passe à la fois moins sécurisés et prévisibles. Cette idée se base sur une étude réalisée en 2009 par l'Université de Caroline du Nord à Chapel Hill. L'étude révèle que lorsque les utilisateurs sont obligés de changer périodiquement leurs mots de passe, ils ont souvent recours à des transformations plutôt qu'à un renouvellement total du mot de passe. Ils se contentent par exemple de remplacer des caractères par des symboles. Et avec les informations obtenues grâce à la recherche, les chercheurs ont pu créer un algorithme pour deviner les changements de mots de passe. Cela signifie que les pirates pourraient potentiellement faire de même. Pour ces deux raisons, Microsoft considère qu'il est de loin préférable pour un utilisateur de créer un mot de passe fort mais immuable plutôt que de recourir à un mot de passe qui respecte à peine les exigences minimales de mot de passe d’une organisation et d’y apporter ensuite des modifications minimes à chaque fois que le changement du mot de passe aura été programmé.
Mais tout le monde n'est pas si convaincu…
Bien que la CNIL et Microsoft recommandent plutôt de ne pas recourir aux changements de mots de passe programmés obligatoires, tout le monde n'est pas pour autant convaincu. L'industrie des cartes de paiement, par exemple, exige que toute organisation qui accepte les paiements par carte de crédit se conforme aux normes PCI DSS. PCI DSS 4.0, qui entrera en vigueur lorsque la version 3.2.1 de PCI DSS sera obsolète en 2024, requiert toujours des changements de mot de passe programmés. La version 4.0 des normes PCI DSS exige que les organisations utilisent des mots de passe d'au moins 12 caractères (à quelques exceptions près) et que les mots de passe soient changés tous les 90 jours. Et si nous mélangions le meilleur des deux mondes… ? Le fait que Microsoft et la CNIL déconseillent l'expiration obligatoire des mots de passe alors que d'autres normes de l'industrie comme PCI les exigent toujours indiquent clairement qu'il n'y a pas de consensus sur le bien-fondé (ou non) des changements de mot de passe obligatoires. Et s'il existait une option intermédiaire ?
La durée de vie du mot de passe basée sur sa longueur comme juste milieu face au dilemme de l'expiration du mot de passe
Specops Password Policy prend en charge la durée de vie du mot de passe basée sur la longueur, ce qui peut représenter le juste milieu recherché par les organisations. L'idée de base derrière cette fonctionnalité est qu'une organisation peut faire en sorte que les utilisateurs qui créent des mots de passe forts soient récompensés par des changements de mot de passe moins fréquents. Si vous mettez en oeuvre une politique de mots de passe solide avec un système de récompense pour l'utilisateur final et que vous guidez les utilisateurs dans la création de mots de passe qu'ils peuvent conserver plus longtemps, vous gagnez bonus supplémentaire : votre équipe IT verra diminuer le nombre d’appels liés à la réinitialisation du mot de passe auprès du helpdesk. Est-ce qu’on ne s’approche pas ainsi d’une solution gagnant-gagnant pour tout le monde ?
Testez gratuitement Specops Password Policy dans votre Active Directory.