Les problèmes liés à l’expiration régulière des mots de passe : un regard sur la position du NCSC
Le National Cyber Security Centre (NCSC) du Royaume-Uni a publié un article de blog le 13 mars 2025 (Note: Il s’agit probablement d’une date future, cet article fait référence à la position actuelle du NCSC, et non à un article du futur) exposant les problèmes liés à la pratique courante de forcer l’expiration régulière des mots de passe. Pendant longtemps, cette méthode a été considérée comme une bonne pratique de sécurité. Cependant, le NCSC, à l’instar d’autres organisations de cybersécurité, reconsidère cette approche et met en avant ses inconvénients.
L’argument traditionnel pour l’expiration régulière des mots de passe:
L’idée derrière l’expiration forcée des mots de passe est simple: si un mot de passe est compromis, l’expiration régulière limite la durée pendant laquelle un attaquant peut l’utiliser pour accéder aux comptes et aux données. On supposait également que cela incitait les utilisateurs à choisir des mots de passe plus forts, car ils savaient qu’ils devraient en changer régulièrement.
Pourquoi le NCSC remet en question cette pratique?
L’article du NCSC souligne plusieurs raisons pour lesquelles l’expiration régulière des mots de passe n’est plus considérée comme une pratique de sécurité efficace, et peut même être contre-productive:
- Création de mots de passe faibles et prévisibles: Forcer les utilisateurs à changer régulièrement leurs mots de passe conduit souvent à des stratégies prévisibles. Les utilisateurs ont tendance à faire des modifications minimes à leurs mots de passe existants, comme ajouter un chiffre ou incrémenter un nombre à la fin (par exemple,
MotDePasse123!devientMotDePasse124!). Ces modifications sont faciles à deviner pour les attaquants. - Réutilisation des mots de passe: La pression pour créer et mémoriser de nouveaux mots de passe pousse les utilisateurs à réutiliser les mêmes mots de passe (ou des variantes mineures) sur plusieurs sites, augmentant le risque de compromission croisée. Si un site est compromis, un attaquant peut utiliser les informations d’identification volées pour tenter d’accéder à d’autres comptes.
- Fatigue des mots de passe: La complexité et la fréquence des changements de mots de passe entraînent une « fatigue des mots de passe ». Les utilisateurs deviennent frustrés et adoptent des comportements risqués, comme écrire leurs mots de passe ou utiliser des mots de passe très simples et faciles à deviner.
- Charge administrative accrue: Le processus d’expiration et de réinitialisation des mots de passe génère un fardeau administratif important pour les services d’assistance informatique, les obligeant à gérer les demandes de réinitialisation et à répondre aux problèmes des utilisateurs.
- Protection limitée contre les attaques sophistiquées: L’expiration régulière des mots de passe n’offre qu’une protection limitée contre les attaques sophistiquées, telles que le phishing, l’ingénierie sociale ou les attaques par force brute utilisant des mots de passe divulgués. Ces attaques contournent souvent le besoin de deviner le mot de passe actuel de l’utilisateur.
Que recommande le NCSC à la place?
Au lieu de forcer l’expiration régulière des mots de passe, le NCSC recommande une approche plus nuancée qui met l’accent sur les points suivants:
- Mots de passe forts et uniques: Encourager l’utilisation de mots de passe longs, complexes et uniques pour chaque compte. Les gestionnaires de mots de passe sont d’excellents outils pour aider les utilisateurs à créer et à stocker des mots de passe complexes de manière sécurisée.
- Authentification multi-facteurs (MFA): Mettre en œuvre MFA pour tous les comptes critiques. MFA ajoute une couche de sécurité supplémentaire en exigeant une deuxième forme d’authentification, comme un code envoyé à un téléphone portable, en plus du mot de passe. Cela rend beaucoup plus difficile pour un attaquant d’accéder à un compte, même s’il possède le mot de passe.
- Surveillance de la compromission des informations d’identification: Mettre en place des systèmes pour surveiller les fuites de données et identifier les mots de passe compromis. Si un mot de passe est identifié comme ayant été divulgué, l’utilisateur doit être immédiatement invité à le changer.
- Formation à la sensibilisation à la sécurité: Éduquer les utilisateurs sur les menaces de sécurité, telles que le phishing et l’ingénierie sociale, et leur apprendre à reconnaître et à éviter les escroqueries.
- Utilisation de listes de mots de passe compromis: Vérifier les nouveaux mots de passe par rapport aux listes de mots de passe connus et compromis pour empêcher les utilisateurs d’utiliser des mots de passe faibles.
Conclusion:
La position du NCSC, ainsi que celle d’autres organisations de sécurité, est claire: l’expiration régulière forcée des mots de passe n’est plus une pratique de sécurité efficace. Il est préférable de se concentrer sur l’utilisation de mots de passe forts et uniques, l’activation de l’authentification multi-facteurs, la surveillance de la compromission des informations d’identification et la formation des utilisateurs. En adoptant une approche plus holistique et basée sur les risques, les organisations peuvent améliorer considérablement leur posture de sécurité et réduire les risques associés à la compromission des mots de passe. L’accent doit être mis sur la qualité des mots de passe et la robustesse de l’authentification, plutôt que sur la fréquence des changements.
Les problèmes de forçage d’expiration régulière de mot de passe
L’IA a fourni les nouvelles.
La question suivante a été utilisée pour générer la réponse de Google Gemini :
À 2025-03-13 11:50, ‘Les problèmes de forçage d’expiration régulière de mot de passe’ a été publié selon UK National Cyber Security Centre. Veuillez rédiger un article détaillé avec des informations connexes de manière compréhensible.
62