Pourquoi les expirations de mot de passe obligatoires n’ont plus de sens –
Les changements de mot de passe obligatoires à intervalles réguliers sont une réalité au sein de nombreuses organisations. Cette pratique séculaire est soutenue par les promoteurs comme une bonne mesure de sécurité de base pour atténuer les risques de perte de mot de passe. Mais est-il toujours d’actualité des décennies après sa première apparition ?
Sommaire
Que résout l’expiration du mot de passe ?
Tout d’abord, il est important de comprendre pourquoi les expirations de mot de passe forcées sont devenues populaires. La plupart des organisations exigent un changement de mot de passe tous les 30 ou 90 jours. Cela date de l’arrière-plan historique des hachages de mots de passe plus simples qui pourraient être craqués relativement rapidement. À l’époque où un attaquant pouvait déchiffrer un mot de passe en quelques mois, les professionnels de la sécurité ont suggéré que des changements dans ce délai aideraient à protéger les utilisateurs.
Le modèle de menace d’aujourd’hui semble assez différent. Les mots de passe cryptés avec des mécanismes de hachage modernes pourraient prendre des milliards d’années pour réussir à craquer.
De nos jours, les criminels collectent les mots de passe de manière à se concentrer sur vous, l’utilisateur, plutôt que sur le service qui les stocke. Les attaques de phishing et d’ingénierie sociale sont les plus grands risques, ainsi que les attaques par dictionnaire coordonnées utilisant des listes de mots de passe connus. Ces listes proviennent de violations de données précédentes.
Les changements dans le paysage des menaces signifient que les expirations de mots de passe ne résolvent plus le problème auquel elles étaient destinées. Les compromis se produisent en quelques secondes. Au moment où vous modifiez votre mot de passe, les attaquants ont probablement disparu depuis longtemps.
Les problèmes d’expiration des mots de passe
Les changements de mot de passe forcés sont une frustration courante parmi les utilisateurs. Ils peuvent être enclins à choisir une succession de mots de passe courts et facilement mémorisables. Certains utilisateurs noteront chaque mot de passe, l’exposant potentiellement à un compromis, que ce soit dans un fichier texte ou sous forme de post-it sur le bureau.
Des recherches à l’Université de Caroline du Nord ont trouvé un attaquant ayant accès à précédent les mots de passe pourraient déterminer l’utilisateur actuel mot de passe en moins de 3 secondes dans 41 % des cas. Cela prouve clairement que de nombreux utilisateurs n’apportent que des modifications mineures à leurs mots de passe à l’intervalle prescrit.
Les expirations de mot de passe sont destinées à imposer une limite de temps à l’accès d’un attaquant à un système compromis. Dans le paysage changeant d’aujourd’hui, un intrus peut déjà avoir un accès persistant au moment où il vole la liste des mots de passe. L’installation d’un enregistreur de frappe ou d’un autre malware similaire contourne immédiatement tous les avantages de l’expiration du mot de passe.
Enfin, les pen-testeurs du monde réel ont déclaré qu’ils ne sont pas encombrés par une politique d’expiration des mots de passe. Les politiques se défendent souvent contre des menaces qu’elles ne peuvent espérer contenir. De nos jours, les changements réguliers de mot de passe doivent être considérés comme un effort pour encourager les utilisateurs à maintenir la sécurité. En pratique, il est mal adapté à cela aussi, car il présente un inconvénient que les utilisateurs essaieront d’éviter.
La marée tourne contre la modification de votre mot de passe
Ces facteurs combinés ont conduit plusieurs organisations de premier plan à se retourner contre les politiques de changement de mot de passe ces dernières années. Du National Cyber Security Center (NCSC) du Royaume-Uni à la base de référence officielle de Microsoft en matière de sécurité Windows, cette pratique autrefois omniprésente est rapidement tombée en désuétude.
Dans un article de blog en 2016, le NCSC a expliqué que les expirations présentent un « coût d’utilisation » pour les utilisateurs qui l’emporte sur des avantages de sécurité déjà discutables :
C’est l’un de ces scénarios de sécurité contre-intuitifs ; plus les utilisateurs sont obligés de changer de mot de passe, plus la vulnérabilité globale aux attaques est grande. Il s’avère que ce qui semblait être un conseil parfaitement sensé et établi de longue date ne résiste pas à une analyse rigoureuse de l’ensemble du système.
L’impact de la fatigue des mots de passe est plus susceptible d’affaiblir la posture de sécurité globale d’une organisation, car les utilisateurs choisiront des mots de passe moins sécurisés et abandonneront leur garde contre les menaces en cours. Les attaquants ne seront pas perturbés par une politique d’expiration de mot de passe – les informations sont volées en un instant, généralement bien avant qu’un changement de mot de passe programmé n’atténue l’impact.
Quoi utiliser à la place ?
Les administrateurs système disposent encore de plusieurs outils pour protéger leurs organisations. Parmi les options disponibles, l’éducation peut être l’une des approches à long terme les plus solides. Expliquez aux utilisateurs les risques des mots de passe à faible sécurité pour les encourager à faire des choix plus sûrs.
Vous devez également adopter une approche d’authentification multifactorielle. L’ajout d’une application d’authentification à l’équation empêche les attaquants d’utiliser des mots de passe, même s’ils réussissent à les voler. Cela n’était pas possible lorsque les politiques d’expiration des mots de passe ont commencé à être adoptées.
Si vous insistez toujours pour que les mots de passe changent régulièrement, ou si votre secteur a une législation qui l’exige, trouvez des moyens d’aider vos utilisateurs. Fournir un logiciel de gestion de mots de passe approuvé permettra aux utilisateurs de générer et de stocker des mots de passe sécurisés, sans recourir à de simples phrases griffonnées sur du papier à lettres.
Abandonner les expirations des mots de passe ne signifie pas abandonner tous les mécanismes de contrôle des mots de passe. Vous pouvez toujours imposer une longueur et une complexité minimales pour guider les utilisateurs vers des choix forts. De plus, vous devez conserver la possibilité d’invalider les mots de passe afin de pouvoir verrouiller rapidement vos systèmes en cas de violation.
Conclusion : il est temps d’arrêter l’expiration des mots de passe
Les expirations de mot de passe étaient raisonnablement efficaces pour arrêter les cyberattaques du Web d’hier. Maintenant, ils causent plus de problèmes qu’ils n’en valent la peine. Continuer à appliquer des changements de mot de passe réguliers frustrera les utilisateurs, entraînera davantage de requêtes auprès du service d’assistance informatique et aura des effets négligeables – ou négatifs – sur votre posture de sécurité.
Les politiques d’expiration étaient utiles lorsque le Web était un endroit plus petit et plus lent. Internet et ses menaces ont énormément évolué au cours des deux dernières décennies. Il est désormais plus courant pour les utilisateurs de communiquer leur mot de passe à un attaquant, dans un e-mail de phishing ou lors d’un appel frauduleux, qu’un mot de passe soit réellement « volé » par un intrus.
Pour les systèmes où l’accès persistant est un risque, l’acquisition unique du mot de passe d’un utilisateur privilégié donne généralement à un attaquant la possibilité d’installer une porte dérobée ou de configurer son propre compte utilisateur. Avec autant de facteurs s’empilant contre l’expiration des mots de passe en tant qu’atténuation de la sécurité, il est désormais plus important de se concentrer sur l’hygiène de base des mots de passe et sur l’ensemble des cyberdéfenses.
L’abandon de votre politique d’expiration de mot de passe devrait plaire aux utilisateurs et contribuer à votre niveau de sécurité. Comparez les avantages de sécurité de vos pratiques en matière de mots de passe au coût d’utilisation des utilisateurs qui réapprennent leurs informations d’identification tous les quelques mois. De nombreuses réglementations de conformité telles que PCI-DSS et HIPAA exigent toujours des changements de mot de passe réguliers, mais dans les secteurs non réglementés, vous devriez maintenant réfléchir à deux fois avant d’utiliser les expirations obligatoires.