La réinitialisation des mots de passe peut être frustrante pour les utilisateurs finaux. Personne n’aime être interrompu par la notification « il est temps de changer votre mot de passe » – et ils aiment encore moins que les nouveaux mots de passe qu’ils créent soient rejetés par la politique de mots de passe de leur organisation. Les équipes informatiques partagent cette difficulté, la réinitialisation des mots de passe via des tickets de service d’assistance et des appels d’assistance étant un fardeau quotidien. Malgré cela, il est communément admis que tous les mots de passe doivent expirer après une période de temps définie.
Pourquoi est-ce le cas ? Avez-vous vraiment besoin d’une date d’expiration pour vos mots de passe ? Découvrez pourquoi la date d’expiration existe et pourquoi définir des mots de passe à « ne jamais expirer » peut vous éviter bien des soucis, mais n’est pas la meilleure idée en matière de cybersécurité.
Pourquoi avons-nous des mots de passe qui expirent ?
La politique traditionnelle de réinitialisation du mot de passe de 90 jours découle de la nécessité de se protéger contre attaques par force bruteLes organisations stockent généralement les mots de passe sous forme de hachages, qui sont des versions brouillées des mots de passe réels créés à l’aide de fonctions de hachage cryptographiques (CHF). Lorsqu’un utilisateur saisit son mot de passe, il est haché et comparé au hachage stocké. Les attaquants qui tentent de déchiffrer ces mots de passe doivent deviner le bon en exécutant les mots de passe potentiels via le même algorithme de hachage et en comparant les résultats. Le processus peut être encore plus compliqué pour les attaquants par des techniques telles que le salage, où des chaînes aléatoires sont ajoutées aux mots de passe avant le hachage.
Les attaques par force brute dépendent de plusieurs facteurs, notamment de la puissance de calcul dont dispose l’attaquant et de la force du mot de passe. La période de réinitialisation de 90 jours était considérée comme une approche équilibrée pour devancer les attaques par force brute sans surcharger les utilisateurs avec des changements trop fréquents. Les progrès technologiques ont cependant réduit le temps nécessaire pour déchiffrer les mots de passe, ce qui a incité à réévaluer cette politique. Malgré cela, l’expiration de 90 jours reste une recommandation dans de nombreuses normes de conformité, y compris PCI.
Pourquoi certaines organisations ont-elles supprimé les dates d’expiration ?
L’un des principaux arguments contre l’expiration régulière des mots de passe est qu’elle peut conduire à la réutilisation de mots de passe faibles. Les utilisateurs apportent souvent de légères modifications à leurs mots de passe existants, par exemple en remplaçant « Mot de passe1 ! » par « Mot de passe2 ! ». Cette pratique compromet les avantages en matière de sécurité des changements de mot de passe. Le véritable problème ici n’est cependant pas l’acte de réinitialiser les mots de passe, mais plutôt la politique de l’organisation qui autorise les mots de passe faibles en premier lieu.
La principale raison pour laquelle les entreprises ont opté pour des mots de passe « sans expiration » est la réduction de la charge de travail du service informatique et du service d’assistance. Le coût et la charge liés à la réinitialisation des mots de passe pour les services d’assistance informatique sont considérables. Gartner estime que 20 à 50 % des appels au service d’assistance informatique sont liés à la réinitialisation des mots de passe, chaque réinitialisation étant liée à une demande de réinitialisation. coûtant environ 70 $ en main-d’œuvre Selon Forrester, cela peut s’avérer compliqué, surtout lorsque les utilisateurs oublient fréquemment leurs mots de passe après avoir été obligés d’en créer de nouveaux.
Certaines organisations peuvent donc être tentées de forcer les utilisateurs finaux à créer un mot de passe très fort, puis à définir des mots de passe « n’expirant jamais » afin de réduire la charge informatique et les coûts de réinitialisation.
Quels sont les risques liés aux mots de passe « n’expirent jamais » ?
Avoir un mot de passe fort et ne jamais le changer peut donner à quelqu’un un faux sentiment de sécurité. Un mot de passe fort n’est pas à l’abri des menaces ; il peut être vulnérable aux tentatives de phishing, aux violations de données ou à d’autres types d’incidents informatiques sans que l’utilisateur ne s’en rende compte. Le rapport Specops Breached Password Report a révélé que 83 % des mots de passe compromis répondaient aux normes réglementaires en matière de longueur et de complexité.
Une organisation peut avoir une politique de mot de passe forte obligeant chaque utilisateur final à créer un mot de passe fort et résistant aux attaques par force brute. Mais que se passe-t-il si l’employé décide de réutiliser son mot de passe pour Facebook, Netflix et toutes les autres applications personnelles ? Le risque de compromission du mot de passe augmente considérablement, quelles que soient les mesures de sécurité internes mises en place par l’organisation. Une enquête de LastPass Les résultats ont révélé que 91 % des utilisateurs finaux comprenaient le risque lié à la réutilisation des mots de passe, mais que 59 % le faisaient quand même.
Un autre risque lié aux mots de passe « sans date d’expiration » est qu’un attaquant pourrait utiliser un ensemble d’identifiants compromis pendant une longue période. Le Ponemon Institute a constaté qu’il faut généralement environ 207 jours pour identifier une violation. Bien que l’obligation d’expiration du mot de passe puisse être bénéfique dans ce cas, il est probable qu’un attaquant ait déjà atteint ses objectifs au moment où le mot de passe expire. Par conséquent, le NIST et d’autres directives conseillent aux organisations de définir des mots de passe qui n’expirent jamais uniquement si elles disposent de mécanismes permettant d’identifier les comptes compromis.
Comment détecter les mots de passe compromis
Les organisations doivent adopter une stratégie de mots de passe complète qui va au-delà de l’expiration régulière. Cela inclut de guider les utilisateurs pour créer des phrases de passe fortes d’au moins 15 caractères. Une telle politique peut réduire considérablement la vulnérabilité aux attaques par force brute. Encourager les utilisateurs finaux à créer des mots de passe plus longs peut également être réalisé grâce à un vieillissement basé sur la longueur, où des mots de passe plus longs et plus forts sont autorisés à être utilisés pendant des périodes prolongées avant d’expirer. Cette approche élimine la nécessité d’une durée d’expiration unique, à condition que les utilisateurs adhèrent à la politique de mots de passe de l’organisation.
 |
| Présentation d’images avec création de mots de passe plus forts et vieillissement basé sur la longueur |
Cependant, même les mots de passe forts peuvent être compromis et des mesures doivent être mises en place pour détecter ce phénomène. Une fois compromis, le temps de piratage d’un mot de passe indiqué dans le tableau ci-dessus devient « instantané ». Les organisations doivent adopter une stratégie concertée pour s’assurer qu’elles se protègent contre les mots de passe faibles et compromis.
Si vous souhaitez gérer tous les éléments ci-dessus de manière automatisée à partir d’une interface simple à utiliser dans Active Directory, Specops Password Policy pourrait être un outil précieux dans votre arsenal de cybersécurité. Grâce à son service de protection contre les violations de mots de passe, Specops Password Policy peut vérifier et bloquer en permanence l’utilisation de plus de 4 milliards de mots de passe compromis connus. Voyez par vous-même avec une démonstration en direct.