Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Les normes de mot de passe NIST
Le National Institute of Standards and Technology (NIST) établit les normes de sécurité de l’information pour les agences fédérales. Grâce à sa série de publications spéciales (SP) 800, le NIST aide les organisations à répondre aux exigences de conformité réglementaires telles que HIPAA et SOX.
La récente mise à jour des normes de mots de passe NIST (SP) 800-63-3 casse les codes concernant les politiques de mot de passe largement acceptées. Elle remet complètement en cause leur efficacité. Le nouveau cadre vise à simplifier la gestion des mots de passe pour les utilisateurs en laissant de côté les exigences de sécurité trop complexes.
Quelles sont les exigences de mot de passe NIST ?
- Définissez une longueur minimale de 8 caractères.
- Changez les mots de passe uniquement s’il existe des preuves de compromission.
- Filtrez les nouveaux mots de passe par rapport à une liste de mots de passe compromis connus.
- Ignorez les questions secrètes du mot de passe et les questions de sécurité basées sur les connaissances.
- Limitez le nombre de tentatives d’authentification infructueuses.
Quelles sont les recommandations de mot de passe NIST ?
- Définissez la longueur maximale du mot de passe sur au moins 64 caractères.
- Ignorez les règles de composition des caractères car elles représentent une charge inutile pour les utilisateurs finaux.
- Autorisez la fonctionnalité de copier-coller dans les champs de mot de passe pour faciliter l’utilisation des gestionnaires de mots de passe.
- Autoriser l’utilisation de tous les caractères ASCII imprimables ainsi que de tous les caractères UNICODE (y compris les emojis).
Directives NIST pour les mots de passe compromis
Aujourd’hui, les attaques basées sur les informations d’identification préfèrent les listes de mots de passe à la méthode de la force brute. À cause de notre tendance à réutiliser les mots de passe (plus de 44 millions de titulaires de comptes Microsoft utilisent des mots de passe recyclés), les pirates ont accès à une collection infinie de combinaisons de noms d’utilisateur et de mots de passe. La duplication des informations d’identification augmente leurs chances d’accéder à des comptes supplémentaires et d’exposer davantage de données.
Une liste de mots de passe (liste de mots de passe refusés, dictionnaire de mots de passe, etc.) contient des valeurs connues pour être couramment utilisées, attendues ou compromises. Les organisations peuvent utiliser des listes de mots de passe (les mêmes fichiers utilisés par les pirates) pour bloquer les mots de passe vulnérables dans leur organisation. Selon le NIST, une liste de mots de passe doit inclure :
- Les mots de passe obtenus à partir de corpus d’attaques précédentes.
- Des mots du dictionnaire.
- Des caractères répétitifs ou séquentiels (par exemple « aaaaaa », « 1234abcd »).
- Des mots spécifiques au contexte, tels que le nom du service, le nom d’utilisateur et leurs dérivés.
Dans la plupart des organisations, le mot de passe de domaine Windows est le mot de passe principal pour les utilisateurs des services sur site et le SaaS via l’authentification unique. Inutile de dire que la mise en œuvre d’une liste de mots de passe interdits avec les paramètres d’une politique de mot de passe de domaine n’est actuellement pas possible (sauf si vous utilisez un outil tiers comme Specops Password Policy ).
Si vous n’utilisez pas d’outil tiers pour effectuer des vérifications automatiques des mots de passe lorsque les utilisateurs en changent, vous pouvez utiliser notre logiciel gratuit (Specops Password Auditor) pour filtrer les mots de passe des comptes d’utilisateurs au regard d’une liste de mots de passe vulnérables provenant de multiples fuites de données. Specops Password Auditor analyse vos politiques de mot de passe de domaine et vos politiques de mot de passe à granularité fine. Vous obtiendrez ainsi un aperçu de la sécurité de vos mots de passe par rapport aux listes de mots de passe et aux exigences du NIST.
En parallèle, vous pouvez configurer votre Active Directory pour rechercher les mots de passe divulgués dans une liste de mots de passe externe, telle que celle de Have I Been Pwned (HIBP). Bien sûr, cette liste téléchargeable est statique car constituée à un instant T, cela ne peut pas aider à une protection continue.
Les points à retenir sur les mots de passe NIST
Les expirations fréquentes associées aux exigences de complexité agacent les utilisateurs, entraînant de mauvaises décisions en matière de mot de passe. Non seulement, elles permettent aux utilisateurs de créer des mots de passe faciles à deviner pour les pirates, mais elles peuvent également mettre à rude épreuve le service d’assistance. Au lieu de forcer les utilisateurs à créer des mots de passe dont ils ne se souviendront pas, le NIST souhaite que les administrateurs se concentrent sur le blocage des mots de passe faibles ou compromis. Avec Specops Password Policy, vous obtenez non seulement une liste plus complète et actualisée des mots de passe divulgués (plus de 4 milliards), mais vous obtenez un moyen sûr et en continu de vérifier vos mots de passe utilisateurs Active Directory par rapport à une liste de mots de passe valide pour le NIST. Lors d’un changement de mot de passe dans Active Directory, le service bloquera et avertira les utilisateurs si le mot de passe qu’ils ont choisi se trouve dans une liste de mots de passe divulgués. Specops Password Policy permet de rejeter facilement les mots de passe vulnérables et de se conformer aux dernières normes sur les mots de passe du NIST.
(Dernière mise à jour le 13/03/2024)