Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Des mots de passe sans date d’expiration ? Pourquoi nous ne devrions pas nécessairement renoncer à l’expiration des mots de passe.
La réinitialisation des mots de passe par le biais de tickets de service et d’appels auprès du helpdesk est un fardeau quotidien pour les équipes informatiques. Les utilisateurs sont tout aussi frustrés lorsque la notification « Il est temps de changer votre mot de passe » apparaît au milieu d’une journée de travail bien remplie – surtout lorsqu’ils se rendent compte qu’ils ne peuvent pas simplement ajouter « ! » à la fin de leur ancien mot de passe. Malgré la frustration des équipes informatiques et des utilisateurs, l’application de l’expiration des mots de passe à intervalles réguliers est une pratique courante dans les organisations depuis déjà un certain temps.
Ces dernières années, la pratique de l’expiration régulière des mots de passe a été remise en question, Microsoft allant même jusqu’à déclarer que l’expiration des mots de passe « fait plus de mal que de bien ». Cependant, se débarrasser de l’expiration régulière des mots de passe – une idée séduisante pour une équipe informatique surchargée de travail – n’est pas la meilleure décision à prendre dans la plupart des cas. La raison principale ? Le manque de capacité à détecter les compromissions. La plupart des organisations ne bénéficiant pas de la capacité à détecter immédiatement les incidents de prise de contrôle sur leurs comptes, l’expiration régulière des mots de passe reste donc un outil d’atténuation important pour se protéger contre le danger que représente la réutilisation des mots de passe.
Examinons la situation de l’expiration des mots de passe, la réalité des attaques contre lesquelles elle peut contribuer à protéger les organisations et les autres options qui s’offrent aux équipes informatiques.
D’où vient la réinitialisation standard de 90 jours ?
De nos jours, il est rare que les mots de passe soient stockés en texte brut – les organisations qui utilisent Active Directory les stockent sous forme de hachages. Cela signifie que la liste des mots de passe réels des employés est brouillée par une fonction de hachage cryptographique (CHF). Lorsqu’un employé saisit son mot de passe, l’organisation doit le soumettre à la fonction de hachage cryptographique et confirmer que le résultat correspond au mot de passe haché stocké dans sa base de données. En raison de la nature unidirectionnelle de ces algorithmes de hachage, les attaquants doivent recourir à des méthodes de craquage.
En clair, les pirates doivent essayer de deviner les mots de passe par le biais d’ attaques par force brute . Ils sont obligés de découvrir l’algorithme de hachage utilisé, puis de tester les mots de passe potentiels en les soumettant à l’algorithme et en comparant le résultat au mot de passe haché accepté par la plateforme. Les organisations peuvent compliquer encore un peu plus le processus par le salage – une technique consistant à ajouter une chaîne aléatoire de caractères à chaque mot de passe avant de le hacher.
Les attaques par force brute ne sont pas une science exacte, en particulier lorsque le hachage et le salage ont été utilisés. Le temps nécessaire pour déchiffrer un mot de passe dépend de plusieurs facteurs parmi lesquels la puissance de calcul dont dispose le cybercriminel et la force du mot de passe. Toutefois, les spécialistes de la sécurité pensent généralement qu’un délai d’expiration de 90 jours offre le meilleur équilibre entre les attaques par force brute et le fait de ne pas obliger les utilisateurs à changer de mot de passe trop fréquemment. Bien entendu, les technologies de l’information évoluent rapidement et les progrès récents en matière d’automatisation comme matériels ont permis de réduire le temps de craquage.
Cette réflexion sur la sécurité en fonction du temps écoulé a débouché sur de nombreuses recommandations et normes de conformité, dont l’exigence d’une expiration de 90 jours. Jusqu’en 2017, une expiration au bout de 90 jours était la recommandation standard du NIST – et reste la recommandation actuelle de PCI.
Pourquoi les entreprises veulent-elles se débarrasser de l’expiration des mots de passe ?
L’un des arguments contre l’expiration régulière est qu’elle encourage les gens à réutiliser des mots de passe faibles, n’apportant à chaque fois que de légères modifications au même mot de passe. Par exemple, Mallorca1! devient Mallorca2! car l’employé veut conserver le mot de passe qu’il a mémorisé et qu’il a l’habitude d’utiliser tous les jours. Le vrai problème ici est plutôt celui de la politique de l’organisation qui autorise les mots de passe faibles, plutôt que l’acte de réinitialisation lui-même.
Mais que se passe-t-il lorsque les utilisateurs sont obligés de réinitialiser régulièrement leur mot de passe pour obtenir un mot de passe unique et fort ? L’expérience utilisateur peut représenter un obstacle : les gens sont frustrés de devoir penser à de nouveaux mots de passe forts, en particulier si l’organisation n’utilise pas une plateforme de réinitialisation qui offre de l’aide ou des conseils. En fin de compte, il s’agit d’un facteur d’agacement relativement faible pour les employés – personne ne va dépoussiérer son CV parce qu’il a dû réinitialiser un mot de passe. Le véritable problème lié à l’obligation d’une expiration régulière est la charge de travail pour le helpdesk qui en découle généralement.
Du point de vue de l’organisation, les réinitialisations ont un coût. Selon Gartner, entre 20 et 50 % des appels au helpdesk concernent des réinitialisations de mots de passe. Les données de Forrester Research estiment que le coût de la main-d’œuvre pour chaque réinitialisation de mot de passe est d’environ 70 $ – montant qui ne fait qu’augmenter lorsque les gens oublient leurs mots de passe après avoir été forcés d’en choisir un nouveau, unique. Et bien sûr, une fois le mot de passe réinitialisé, le cycle recommence et l’utilisateur doit créer un nouveau mot de passe.
Est-il nécessaire de prévoir des échéances régulières pour les mots de passe ?
Personne ne souhaite se voir privé d’un système efficace et rapide de réinitialisation des mots de passe, car il existe inévitablement des occasions où ils devront être modifiés en urgence. Par exemple, lorsqu’un compte a été piraté, des informations d’identification divulguées lors d’une violation de données, lorsqu’un logiciel malveillant a été trouvé sur un appareil ou lorsqu’un réseau non sécurisé a été utilisé. Il arrive même qu’une réinitialisation massive de tous les mots de passe Active Directory soit nécessaire pour l’ensemble d’une organisation.
Si nous disposons de moyens rapides et efficaces pour réinitialiser les mots de passe en cas de besoin, à quoi sert une politique d’expiration ?
La réutilisation des mots de passe est l’une des raisons pour lesquelles l’expiration peut être utile. Supposons qu’une organisation ait mis en place une politique de mots de passe forts et ait imposé à chaque employé de créer une passphrase forte. Que se passe-t-il si l’employé décide d’utiliser ce mot de passe pour son compte Facebook, Netflix et toutes ses autres applications personnelles ? Une étude de Google révèle que 65 % des gens réutilisent leurs mots de passe. Le risque de compromission du mot de passe augmente de fait considérablement, quelles que soient les mesures de sécurité internes mises en place par l’organisation.
Les mots de passe qui n’expirent jamais offrent des opportunités aux pirates informatiques, en particulier lorsqu’un grand nombre d’entre eux ne répondent pas aux exigences de sécurité de base. Les pirates peuvent rester plus longtemps sous le coup des tentatives de verrouillage quotidiennes, ce qui leur laisse plus de temps pour deviner. Même si un mot de passe est fort, il peut toujours être compromis par une attaque de phishing, une compromission de données ou tout autre incident de cybersécurité à l’insu de l’utilisateur. Notre rapport 2023 Specops sur les mots de passe faibles montre que 83 % des mots de passe compromis répondaient aux normes de longueur et de complexité des normes réglementaires sur les mots de passe.
Il n’est pas toujours possible de savoir si des informations d’identification ont été compromises avant qu’un attaquant n’ait frappé. L’institut Ponemon estime qu’il faut en moyenne 207 jours à une organisation pour découvrir une compromission. L’expiration forcée d’un mot de passe peut être utile, mais il est réaliste de penser qu’un pirate a déjà accompli ce qu’il voulait avant l’expiration du mot de passe. C’est pourquoi le NIST et d’autres normes ne recommandent aux organisations de définir des mots de passe qui n’expirent jamais uniquement si elles ont mis en place des outils capables de détecter les comptes compromis.
De quels autres recours disposent les organisations ?
Les expirations de mots de passe peuvent contribuer à empêcher la réutilisation des ces derniers, mais elles doivent être utilisées dans le cadre d’une stratégie plus large en matière de mots de passe. La meilleure approche qu’une organisation puisse adopter est de mettre en place une politique qui guide les utilisateurs dans la création de passphrases fortes avec 20 caractères contenant différents types de caractères. Comme le montre le tableau ci-dessous, cela peut réduire considérablement votre vulnérabilité face à une attaque par force brute.
L’un des moyens d’encourager les utilisateurs à créer des mots de passe plus longs est la durée de vie du mot de passe basé sur sa longueur. L’idée derrière la durée de vie du mot de passe basé sur sa longueur est que les mots de passe plus longs et plus forts peuvent être utilisés pendant une plus longue période avant d’expirer. Il n’est donc pas nécessaire d’imposer un délai d’expiration unique de 90 jours (sauf s’il s’agit de se conformer à une norme telle que PCI), tant que les utilisateurs finaux sont disposés à respecter les paramètres de la politique de mot de passe définie par l’organisation.
Cependant, même les mots de passe forts peuvent être compromis et des mesures doivent être mises en place pour les détecter. Une fois compromis, le temps de craquage d’un mot de passe en bas à droite du tableau ci-dessus devient “instantané”. Les organisations ont besoin d’une stratégie commune pour s’assurer qu’elles se protègent à la fois contre les mots de passe faibles et compromis.
Si vous souhaitez gérer tous ces éléments de manière automatisée à partir d’une interface simple à utiliser au sein d’Active Directory, Specops Password Policy pourrait être un outil précieux dans votre arsenal de cybersécurité. Grâce à son service Breached Password Protection, Specops Password Policy peut vérifier et bloquer en permanence l’utilisation de plus de 4 milliards de mots de passe uniques compromis connus.
(Dernière mise à jour le 13/03/2024)