Table of Contents
Révisions des règles de mots de passe par le NIST
Le NIST (Institut national des normes et de la technologie) propose de nouvelles lignes directrices pour améliorer l’hygiène des mots de passe. Ces recommandations visent à éliminer les règles les plus contraignantes et souvent jugées absurdes. Parmi ces règles, on trouve la réalisation obligatoire de changements fréquents de mot de passe, l’utilisation de caractères spéciaux spécifiques et les traditionnelles questions de sécurité. L’objectif est de simplifier les meilleures pratiques de gestion des mots de passe tout en renforçant la sécurité.
Les enjeux de la cybersécurité
À une époque où les utilisateurs se connectent quotidiennement à de multiples services en ligne, le choix de mots de passe solides et leur protection sont essentiels. Cependant, la conformité aux exigences imposées par les employeurs ou les fournisseurs de services peut s’avérer complexe. Souvent, ces exigences, censées renforcer la sécurité, finissent par la compromettre.
Nouvelles recommandations du NIST
Ce mois-ci, le NIST a publié la mise à jour de son projet public SP 800-63-4 sur l’identité numérique. La section concernant les mots de passe contient plusieurs recommandations sensées qui remettent en question les pratiques actuelles. Ces lignes directrices stipulent que les fournisseurs d’authentification ne doivent plus imposer de règles spécifiques concernant la composition des mots de passe, comme le changement périodique de ceux-ci, généralement tous les 60 ou 90 jours. De plus, l’utilisation de l’authentification par connaissance, comme les questions de sécurité, est désormais déconseillée.
Les caractères spéciaux et le changement régulier de mot de passe
Une autre règle qui pose problème est celle exigeant l’utilisation de caractères spéciaux, chiffres, lettres majuscules et minuscules. Les experts estiment qu’un mot de passe long et aléatoire n’a pas besoin de respecter ces contraintes. Quant au changement régulier de mot de passe, cette pratique, bien que courante, peut en réalité nuire à la sécurité. Elle pousse les utilisateurs à choisir des mots de passe plus simples, plus faciles à mémoriser mais également plus vulnérables.
Meilleures pratiques pour des mots de passe robustes
Dans les versions précédentes, le NIST recommandait des mots de passe complexes. Cependant, il est désormais reconnu que cette complexité ne garantit pas forcément la sécurité. Par exemple, des mots de passe comme « Password123! » ou « q1@We3$Rt5 » sont relativement faciles à deviner. Au contraire, un mot de passe long et aléatoire offre une meilleure protection contre les attaques de type force brute.
Les nouvelles lignes directrices précisent que :
- Les mots de passe doivent contenir au moins huit caractères, et idéalement quinze ou plus.
- Aucun mélange spécifique de caractères ne doit être requis.
- Il est interdit d’exiger un changement périodique de mot de passe, sauf en cas de violation de sécurité avérée.
Utilisation de mots de passe faibles en France
Malgré ces recommandations, l’utilisation de mots de passe faibles demeure largement répandue. Selon une enquête de NordPass, « 123456 » reste le mot de passe le plus utilisé en 2023, avec plus de 86 000 occurrences en France. Les mots de passe courants comme « motdepasse », « marseille » ou « azerty » sont souvent facilement déchiffrables, rendant ainsi la sécurité des comptes vulnérable.
Selon l’étude, seuls quelques mots de passe auraient besoin de plusieurs jours avant d’être craqués par des hackers. Par exemple, « theworldinyourhand » est l’un des rares mots de passe pratiquement inviolables, nécessitant des siècles pour être découvert par des méthodes de force brute.
Implications des nouvelles directives du NIST
Les nouvelles directives du NIST pourraient avoir un impact significatif sur la façon dont les entreprises et les organisations gèrent les mots de passe. Bien que non contraignantes, elles offrent un cadre solide pour améliorer la sécurité numérique des utilisateurs. Les critiques des anciennes pratiques, souvent jugées obsolètes et contre-productives, ouvrent la voie à une réévaluation des systèmes de sécurité actuellement en vigueur.