Le nouvel article de NIST remet en question les règles de sécurité obsolètes liées aux mots de passe. En proposant des lignes directrices plus flexibles, il vise à simplifier la gestion des identifiants tout en renforçant la sécurité. Cet avancement pourrait révolutionner les pratiques de nombreuses entreprises.
Qu’il est frustrant de devoir changer son mot de passe régulièrement ! Une entreprise dans laquelle je travaillais imposait cela tous les trois mois, avec une multitude de règles restrictives sur la composition des mots de passe. Les régulateurs standard prennent désormais conscience que la plupart de ces règles sont devenues obsolètes et inutiles.
Le National Institute of Standards and Technology (NIST) a proposé de nouvelles normes qu’il souhaite adopter. Le second projet de la Publication Spéciale 800-63-4 est à présent disponible sur le site du NIST, en attente des retours du public concernant les recommandations sur les mots de passe et les méthodes d’authentification.
Ce cadre de standards est direct, mais contredit les pratiques fastidieuses que de nombreuses entreprises et agences appliquent. Parmi celles-ci figurent l’exigence de réinitialisations régulières des mots de passe, les limites sur l’utilisation des caractères, l’usage de combinaisons de caractères spécifiques et l’obligation de répondre à des questions de sécurité. La plupart de ces exigences sont en grande partie superflues, héritées d’une époque où l’internet était encore émergent, et où la plupart des utilisateurs n’avaient pas une bonne compréhension des bonnes pratiques en matière de sécurité.
Encouragez vos proches à changer régulièrement leurs mots de passe, en les rendant longs, forts et uniques. Plus de conseils : https://t.co/VhTCLCdf9j. #ChatSTC
– FTC (@FTC) 27 janvier 2016
Comme l’a souligné Microsoft dans sa base de référence de sécurité de 2019, bon nombre de ces règles favorisent en réalité une mauvaise hygiène de sécurité. Par exemple, exiger aux employés de changer leurs mots de passe fréquemment les pousse à opter pour des mots de passe plus faibles et plus faciles à mémoriser, et donc plus faciles à craquer. La FTC partage cet test.
Il en va de même pour les règles qui imposent des caractéristiques sur les caractères, telles que « les mots de passe doivent contenir au moins huit caractères, comprenant au moins une lettre majuscule, une lettre minuscule, un symbole spécial (comme une ponctuation) et au moins un chiffre. » Ce type de restrictions pousse souvent les utilisateurs à choisir des mots de passe comme BigToe@1 (un ancien collègue l’avait effectivement utilisé).
Bien que tout le monde soit libre de lire et de commenter la SP 800-63-4, le document est long et difficile en raison du jargon bureaucratique et des explications détaillées. Il est si dense que l’organisation a dû consacrer une section à la définition des termes simples comme « doit, ne doit pas », « devrait », « ne devrait pas », etc. En gros, le document est réduit à neuf exigences et recommandations.
Vérificateurs de mots de passe ou fournisseurs de services de vérification :
- Doivent exiger des mots de passe d’un minimum de huit caractères, mais devraient exiger un minimum de quinze caractères.
- Devraient permettre une longueur maximale de mot de passe d’au moins 64 caractères.
- Devraient accepter tous les caractères ASCII imprimables ainsi que l’espace dans les mots de passe.
- Devraient accepter des caractères Unicode dans les mots de passe. Chaque point de code Unicode doit être compté comme un seul caractère lors de l’évaluation de la longueur du mot de passe.
- Ne doivent pas imposer d’autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe.
- Ne doivent pas exiger des utilisateurs de changer les mots de passe périodiquement. Cependant, les vérificateurs doivent forcer un changement en cas de preuve de compromission de l’authentificateur.
- Ne doivent pas permettre à l’abonné de stocker un indice accessible à un demandeur non authentifié.
- Ne doivent pas inciter les abonnés à utiliser des méthodes d’authentification basées sur des connaissances (KBA) (par exemple, « Quel était le nom de votre premier animal ? ») ou des questions de sécurité lors du choix des mots de passe.
- Doivent vérifier l’intégralité du mot de passe soumis (c’est-à-dire ne pas le tronquer).
La règle huit est tout à fait raisonnable, considérant l’absurdité de supposer que les pirates ne peuvent pas connaître ou deviner le mascotte du lycée ou le nom de jeune fille d’une cible. Cependant, la septième règle semble être un piège sans issue. Vous ne pouvez voir votre indice de mot de passe que si vous êtes authentifié, mais vous ne pouvez pas être authentifié si vous ne pouvez pas vous souvenir de votre mot de passe sans l’indice. En dehors de cela, les lignes directrices semblent relever du bon sens, qui manque généralement ces jours-ci.
Le NIST régit les normes au sein du gouvernement et n’a pas d’autorité d’application sur les entreprises privées. Par exemple, il veille à ce que toutes les bornes d’incendie utilisent des raccords standardisés et délivrent la même quantité d’eau peu importe l’endroit, tout en fixant également des normes d’entretien.
En général, seules les agences gouvernementales et les entreprises ou organisations qui traitent directement avec le gouvernement sont tenues de respecter ces règles. Par exemple, l’IRS doit adopter les directives du NIST, mais Meta peut les ignorer. Cela dit, de nombreuses normes du NIST se répercutent sur les organisations privées dans les industries auxquelles ces règles s’appliquent. Le cadre de cybersécurité du NIST en est un bon exemple.