Microsoft voit plus de 10 millions d’attaques de paires noms d’utilisateur/mot de passe chaque jour. Cela lui donne un point de vue unique pour comprendre le rôle des mots de passe dans le piratage des comptes.

De nombreuses organisations utilisent la complexité traditionnelle (qui requiert des caractères spéciaux, des chiffres, des majuscules et des minuscules) et des règles d’expiration des mots de passe. Les recherches de Microsoft ont montré que ces stratégies amènent les utilisateurs à choisir des mots de passe plus faciles à deviner.

Voici quelques-unes des pratiques de gestion des mots de passe les plus couramment utilisées, dont Microsoft nous avertit des impacts négatifs de ces pratiques.

Exigences en matière d’expiration de mot de passe pour les utilisateurs

Les exigences d’expiration du mot de passe sont plus néfastes que bénéfiques, car ces exigences amène les utilisateurs à sélectionner des mots de passe prévisibles, composés de mots et de numéros séquentiels étroitement liés les uns aux autres. Dans ce cas, le mot de passe suivant peut être prédit en fonction du mot de passe précédent.

Les exigences d’expiration de mot de passe n’offrent aucun avantage de confinement, car les cybercriminels utilisent presque toujours les informations d’identification dès qu’ils les compromettent.

La mémorisation de l’historique des anciens mots de passe par le système et le blocage de réutilisation d’un mot de passe similaire aux précédent permet toutefois un certain renforcement de la sécurité.

Exiger des mots de passe longs

Les exigences de longueur de mot de passe (plus de 10 caractères) peuvent entraîner un comportement de l’utilisateur prévisible et indésirable. Par exemple, les utilisateurs qui doivent avoir un mot de passe de 16 caractères peuvent choisir des modèles répétitifs, tels que fourfourfourfour ou passwordpassword qui répondent aux exigences de longueur de caractères, mais qui ne sont pas difficiles à deviner.

En outre, les exigences de longueur augmentent les risques que les utilisateurs adopteront d’autres pratiques non sécurisées, telles que l’écriture de leurs mots de passe, leur réutilisation ou leur stockage non chiffré dans leurs documents.

Pour inciter les utilisateurs à réfléchir sur un mot de passe unique, Microsoft recommande de conserver une exigence de longueur minimale de 8 caractères.

Exiger l’utilisation de plusieurs jeux de caractères

Les exigences de complexité de mot de passe réduisent l’espace clé et font en sorte que les utilisateurs agissent de manière prévisible, ce qui est plus néfaste que bénéfique. La plupart des systèmes appliquent un certain niveau de complexité des mots de passe. Par exemple, les mots de passe ont besoin de caractères des trois catégories suivantes :

  • caractères majuscules
  • caractères minuscules
  • caractères non alphanumériques

La plupart des personnes utilisent des modèles similaires, par exemple, une lettre majuscule dans la première position, un symbole dans la dernière et un nombre à la fin. Les cybercriminels le savent et exécutent leurs attaques à l’aide des substitutions les plus courantes, « $ » pour « s », « @ » pour « a », « 1 » pour « l ».

Cette connaissance permet aux hackers de corrompre plus rapidement les mots de passe.

Préconisations de Microsoft

Pour les administrateurs

  • Conserver une exigence de longueur minimale de 8 caractères (plus n’est pas forcément préférable)
  • Ne pas imposer de caractères pour la composition. Par exemple, * &(^% $
  • Ne pas imposer de réinitialisation périodique des mots de passe obligatoires pour les comptes d’utilisateur
  • Interdire les mots de passe courants afin d’éviter les mots de passe les plus vulnérables de votre système
  • Informez vos utilisateurs à ne pas réutiliser les mots de passe de leur organisation à des fins non professionnelles
  • Appliquer l’inscription pour l’authentification multi facteur
  • Activer les défis liés à l’authentification multi facteur basée sur les risques

Pour les utilisateurs

Voici quelques conseils concernant les mots de passe pour les utilisateurs.

  • N’utilisez pas un mot de passe identique ou semblable à celui que vous utilisez sur d’autres sites Web.
  • N’utilisez pas un mot unique ou une expression couramment utilisée
  • Rendez les mots de passe difficiles à deviner
  •  faites les mise à jours des systèmes d’exploitations et des logiciels
  • Des sites internet comme https://howsecureismypassword.net/ permettent d’évaluer la robustesse d’un mot de passe

 

Pour en savoir plus :

Recommandations de stratégie de mot de passe pour Office 365

Microsoft Password Guidance

%d blogueurs aiment cette page :