Microsoft a récemment dévoilé une nouvelle mise à jour de la politique qui a surpris de nombreux utilisateurs : ils ont décidé de mettre fin à la tradition séculaire des réinitialisations de mot de passe obligatoires et régulières. Au cours du mois de mai 2019, Microsoft a révélé qu’il supprimait la politique de mot de passe expirant dans ses paramètres de base de configuration de sécurité pour Windows 10 v1903 et Windows Server v1903..
La politique précédente précisait que tout mot de passe utilisé pour accéder aux comptes d’utilisateurs devait être modifié tous les 42 jours ; un concept avec lequel la plupart des gens sont incroyablement familiers. Cependant, en raison des préoccupations croissantes des experts en sécurité, ainsi que des changements de politique de l’Institut national américain des normes et de la technologie, Microsoft a décidé de modifier ses pratiques afin de mieux se conformer aux normes nationales.
Il convient de noter que Microsoft ne modifie pas ses politiques concernant la longueur, la complexité ou les mauvais mots de passe, mais la suppression des mises à jour de mots de passe régulièrement programmées.
Qu’est-ce qui a fait changer Microsoft d’avis?
Fait intéressant, il s’avère que le changement régulier des mots de passe de connexion a eu l’effet inverse de ce qui était initialement prévu. Au lieu de rafraîchir les mots de passe afin que ceux qui pourraient être volés ne puissent pas être utilisés, cela a paradoxalement eu l’effet inverse et a considérablement affaibli la sécurité des mots de passe.
Il y a trois raisons principales pour lesquelles les mises à jour obligatoires des mots de passe à intervalles réguliers nuisent réellement à la sécurité des utilisateurs.
Forcer les utilisateurs à constamment mettre à jour leurs mots de passe se traduit par des mots de passe plus faibles et moins sophistiqués.
Il ne faut pas s’étonner que le fait d’obliger les utilisateurs à constamment mettre à jour ou modifier leurs mots de passe se traduise par des mots de passe moins sophistiqués. Lorsque les entreprises exigent des changements de mot de passe de routine, ce qui se produit généralement, c’est que les utilisateurs choisissent quelque chose de banal ou de simple à retenir.
Comme Aaron Margosis, un consultant en sécurité de Microsoft, l’explique,
» Lorsque les humains sont obligés de changer leurs mots de passe, ils apportent trop souvent une petite modification prévisible à leurs mots de passe existants et/ou oublient leurs nouveaux mots de passe. Lorsque les mots de passe ou leurs hachages correspondants sont volés, il peut être, au mieux, difficile de détecter ou restreindre leur utilisation non autorisée. »
En outre, il a été démontré que lorsque les utilisateurs sont obligés de créer régulièrement de nouveaux mots de passe, ils en créent systématiquement des chaînes numériques augmentées de mots de passe précédents, ou recyclent simplement le même mot de passe simple partout où ils vont – dans tous les cas, ces pratiques ne font rien. au profit de la sécurité.
Les mises à jour arbitraires des mots de passe à certains intervalles de temps n’ont aucun avantage significatif pour la sécurité.
Les mises à jour arbitraires des mots de passe à certains intervalles de temps n’ont aucun avantage significatif pour la sécurité. Le concept, en théorie du moins, est que si un individu parvient à mettre la main sur votre mot de passe, vous le changerez éventuellement, et cet individu n’aura plus accès à vos données.
L’intervalle minimum défini par Microsoft est de 42 jours. Cela fait presque six semaines que quelqu’un pourrait avoir votre mot de passe. Cela n’a pas beaucoup de sens, n’est-ce pas ? La vérité est que si quelqu’un parvient à accéder à un mot de passe haché, il ne lui faudra pas cinq à six semaines pour utiliser cette information, mais de quelques heures à une journée. Une bien meilleure pratique consiste à s’assurer que les pirates ne sont pas en mesure d’obtenir vos informations dès le départ. C’est le cyber-triage lorsque l’accent devrait être mis sur la prévention.
Notes de Margosis,
« S’il est évident qu’un mot de passe est susceptible d’être volé, combien de jours est une durée acceptable pour continuer à permettre au voleur d’utiliser ce mot de passe volé ? La valeur par défaut de Windows est de 42 jours. Cela ne semble-t-il pas ridiculement Longtemps? »
Les entreprises se concentrent souvent sur la conformité aux directives d’audit, et non sur la sécurité réelle.
Curieusement, la dernière raison du changement était le fait que de nombreuses entreprises faisaient passer la conformité avant la sécurité. Un certain nombre d’entreprises adhèrent aux directives de sécurité de Microsoft ; en outre, il existe souvent des audits externes de sociétés tierces garantissant que toute société exécutant des services Microsoft est à jour et conforme aux politiques énoncées. En tant que tel, il est devenu une pratique courante d’adhérer aux directives de sécurité de Microsoft aussi strictement que possible, sans réellement considérer comment cela a eu un impact sur la sécurité.
La sécurité, la sûreté et la confidentialité sont un paysage en constante évolution dans le monde en ligne. Au fur et à mesure que nous progressons et comprenons la science derrière ce qui fonctionne et ce qui ne fonctionne pas, attendez-vous à de nombreux autres changements comme celui-ci à l’avenir – qui sait, un jour, nous pourrons peut-être supprimer complètement les mots de passe. En attendant, l’authentification à deux facteurs est un excellent moyen d’améliorer la sécurité, ainsi que ces autres conseils.
Plus de réponses à vos problèmes
