Recommandations de stratégie de mot de passe par Microsoft

Microsoft voit plus de 10 millions d’attaques de paires noms d’utilisateur/mot de passe chaque jour. Cela lui donne un point de vue unique pour comprendre le rôle des mots de passe dans le piratage des comptes.

De nombreuses organisations utilisent la complexité traditionnelle (qui requiert des caractères spéciaux, des chiffres, des majuscules et des minuscules) et des règles d’expiration des mots de passe. Les recherches de Microsoft ont montré que ces stratégies amènent les utilisateurs à choisir des mots de passe plus faciles à deviner.

Voici quelques-unes des pratiques de gestion des mots de passe les plus couramment utilisées, dont Microsoft nous avertit des impacts négatifs de ces pratiques.

Exigences en matière d’expiration de mot de passe pour les utilisateurs

Les exigences d’expiration du mot de passe sont plus néfastes que bénéfiques, car ces exigences amène les utilisateurs à sélectionner des mots de passe prévisibles, composés de mots et de numéros séquentiels étroitement liés les uns aux autres. Dans ce cas, le mot de passe suivant peut être prédit en fonction du mot de passe précédent.

Les exigences d’expiration de mot de passe n’offrent aucun avantage de confinement, car les cybercriminels utilisent presque toujours les informations d’identification dès qu’ils les compromettent.

La mémorisation de l’historique des anciens mots de passe par le système et le blocage de réutilisation d’un mot de passe similaire aux précédent permet toutefois un certain renforcement de la sécurité.

Exiger des mots de passe longs

Les exigences de longueur de mot de passe (plus de 10 caractères) peuvent entraîner un comportement de l’utilisateur prévisible et indésirable. Par exemple, les utilisateurs qui doivent avoir un mot de passe de 16 caractères peuvent choisir des modèles répétitifs, tels que fourfourfourfour ou passwordpassword qui répondent aux exigences de longueur de caractères, mais qui ne sont pas difficiles à deviner.

En outre, les exigences de longueur augmentent les risques que les utilisateurs adopteront d’autres pratiques non sécurisées, telles que l’écriture de leurs mots de passe, leur réutilisation ou leur stockage non chiffré dans leurs documents.

Pour inciter les utilisateurs à réfléchir sur un mot de passe unique, Microsoft recommande de conserver une exigence de longueur minimale de 8 caractères.

Exiger l’utilisation de plusieurs jeux de caractères

Les exigences de complexité de mot de passe réduisent l’espace clé et font en sorte que les utilisateurs agissent de manière prévisible, ce qui est plus néfaste que bénéfique. La plupart des systèmes appliquent un certain niveau de complexité des mots de passe. Par exemple, les mots de passe ont besoin de caractères des trois catégories suivantes :

caractères majuscules
caractères minuscules
caractères non alphanumériques

La plupart des personnes utilisent des modèles similaires, par exemple, une lettre majuscule dans la première position, un symbole dans la dernière et un nombre à la fin. Les cybercriminels le savent et exécutent leurs attaques à l’aide des substitutions les plus courantes, « $ » pour « s », « @ » pour « a », « 1 » pour « l ».

Cette connaissance permet aux hackers de corrompre plus rapidement les mots de passe.

Préconisations de Microsoft

Pour les administrateurs

Conserver une exigence de longueur minimale de 8 caractères (plus n’est pas forcément préférable)
Ne pas imposer de caractères pour la composition. Par exemple, * &(^% $
Ne pas imposer de réinitialisation périodique des mots de passe obligatoires pour les comptes d’utilisateur
Interdire les mots de passe courants afin d’éviter les mots de passe les plus vulnérables de votre système
Informez vos utilisateurs à ne pas réutiliser les mots de passe de leur organisation à des fins non professionnelles
Appliquer l’inscription pour l’authentification multi facteur
Activer les défis liés à l’authentification multi facteur basée sur les risques

Pour les utilisateurs

Voici quelques conseils concernant les mots de passe pour les utilisateurs.

N’utilisez pas un mot de passe identique ou semblable à celui que vous utilisez sur d’autres sites Web.
N’utilisez pas un mot unique ou une expression couramment utilisée
Rendez les mots de passe difficiles à deviner
faites les mise à jours des systèmes d’exploitations et des logiciels
Des sites internet comme https://howsecureismypassword.net/ permettent d’évaluer la robustesse d’un mot de passe

Pour en savoir plus :

Recommandations de stratégie de mot de passe pour Office 365

Microsoft Password Guidance

0 commentaires

Soumettre un commentaire Annuler la réponse

Ecrit par Philippe Lapeyre



Sécurité



0 Commentaire(s)



Recommandations de stratégie de mot de passe par Microsoft

Préconisations de Microsoft

0 commentaires

Soumettre un commentaire Annuler la réponse

Ecrit par Philippe Lapeyre

Sécurité

0 Commentaire(s)

Publié le 27 janvier 2020

Nos derniers articles

Migration de votre messagerie vers Microsoft

Ne soyez plus aveugle sur votre sécurité

Comment migrer de Microsoft Exchange vers IBM Verse ?

Microsoft Teams : application de collaboration et d’échange instantané en équipe

Contacts

Newsletter

Message de succès

Nous suivre