Les problèmes de l’expiration forcée des mots de passe : Décryptage du point de vue du NCSC (UK)
Le National Cyber Security Centre (NCSC) du Royaume-Uni a publié un article de blog le 13 mars 2025 intitulé « Problems of forcing regular password expiry » (Les problèmes de l’expiration forcée des mots de passe). Cet article met en lumière les inconvénients de l’expiration régulière et forcée des mots de passe, une pratique autrefois considérée comme une mesure de sécurité essentielle, mais de plus en plus remise en question par les experts.
Pourquoi l’expiration forcée des mots de passe était-elle si populaire ?
Historiquement, l’expiration régulière des mots de passe était perçue comme un moyen d’atténuer les risques suivants :
- Compromission potentielle d’un mot de passe: Même si un mot de passe était compromis, la fenêtre d’opportunité pour un attaquant était limitée par la périodicité de l’expiration.
- Brute-force attacks: Changer régulièrement les mots de passe rendait plus difficile pour les attaquants de deviner ou de cracker un mot de passe avant qu’il ne soit changé.
- Réutilisation des mots de passe: Forcer les utilisateurs à changer de mot de passe les encourageait (théoriquement) à ne pas réutiliser le même mot de passe partout.
Pourquoi le NCSC remet-il en question cette pratique ?
L’article du NCSC met en évidence les arguments suivants contre l’expiration forcée des mots de passe :
- La création de mots de passe faibles et prévisibles: Pour se souvenir facilement de leurs nouveaux mots de passe, les utilisateurs ont tendance à faire des ajustements mineurs à leurs anciens mots de passe (par exemple, remplacer un chiffre par une lettre). Cela rend les nouveaux mots de passe prévisibles et plus faciles à deviner pour les attaquants.
- L’augmentation de la charge mentale et de la frustration des utilisateurs: Changer régulièrement les mots de passe peut être une source de frustration pour les utilisateurs, les obligeant à se souvenir de plusieurs mots de passe et à gérer des changements constants. Cela peut les amener à noter leurs mots de passe, à les stocker de manière non sécurisée, ou à contourner les politiques de sécurité de l’entreprise.
- Un faux sentiment de sécurité: L’expiration régulière des mots de passe peut donner un faux sentiment de sécurité, détournant l’attention de mesures de sécurité plus efficaces.
- Un coût pour l’entreprise: L’expiration régulière des mots de passe peut entraîner une augmentation des demandes d’assistance pour la réinitialisation des mots de passe, ce qui représente un coût pour l’entreprise.
Alors, que propose le NCSC à la place ?
Le NCSC propose une approche plus axée sur la sécurité des mots de passe et les pratiques de sécurité robustes, plutôt que de se concentrer uniquement sur l’expiration régulière. Ils recommandent :
- Utiliser des mots de passe longs et complexes: Encouragez les utilisateurs à utiliser des phrases de passe ou des mots de passe générés aléatoirement qui sont difficiles à deviner ou à cracker.
- Activer l’authentification multi-facteurs (MFA): Le MFA ajoute une couche de sécurité supplémentaire en exigeant une deuxième forme d’authentification, comme un code envoyé sur un téléphone portable, en plus du mot de passe. Cela rend beaucoup plus difficile pour un attaquant d’accéder à un compte, même s’il a compromis le mot de passe.
- Surveiller activement les comptes pour détecter les activités suspectes: Mettez en place des systèmes de détection des intrusions et de surveillance des activités pour identifier les tentatives de connexion inhabituelles ou les comportements suspects.
- Fournir une formation et une sensibilisation à la sécurité: Sensibilisez les utilisateurs aux risques liés aux mots de passe faibles et aux pratiques de sécurité dangereuses.
- Avoir une politique de sécurité des mots de passe forte: Une politique claire sur la création, le stockage et l’utilisation des mots de passe est essentielle.
- Utiliser des gestionnaires de mots de passe: Les gestionnaires de mots de passe aident les utilisateurs à créer et à stocker des mots de passe complexes et uniques pour chaque compte.
En résumé:
L’article du NCSC « Problems of forcing regular password expiry » plaide pour une approche plus moderne et efficace de la sécurité des mots de passe. Au lieu de se concentrer uniquement sur l’expiration régulière des mots de passe, il est plus important de privilégier des mots de passe forts, l’authentification multi-facteurs, la surveillance active des comptes et la sensibilisation à la sécurité. Cette approche permet d’améliorer la sécurité globale tout en réduisant la frustration des utilisateurs et les coûts associés à la réinitialisation des mots de passe.
Implications pour les entreprises et les utilisateurs:
- Entreprises: Les entreprises devraient revoir leurs politiques de sécurité des mots de passe et envisager de supprimer l’exigence d’expiration régulière des mots de passe, tout en renforçant les autres mesures de sécurité recommandées par le NCSC.
- Utilisateurs: Les utilisateurs doivent s’efforcer de créer des mots de passe longs et complexes pour chaque compte, d’activer l’authentification multi-facteurs lorsque cela est possible, et d’utiliser un gestionnaire de mots de passe pour stocker leurs mots de passe en toute sécurité.
En adoptant ces recommandations, les entreprises et les utilisateurs peuvent renforcer leur sécurité et se protéger contre les menaces en ligne. L’article du NCSC est un appel à l’action pour repenser la façon dont nous abordons la sécurité des mots de passe dans un monde numérique en constante évolution.
Les problèmes de forçage d’expiration régulière de mot de passe
L’IA a fourni les nouvelles.
La question suivante a été utilisée pour générer la réponse de Google Gemini :
À 2025-03-13 11:50, ‘Les problèmes de forçage d’expiration régulière de mot de passe’ a été publié selon UK National Cyber Security Centre. Veuillez rédiger un article détaillé avec des informations connexes de manière compréhensible.
44