Apparemment, Microsoft croit maintenant que les mots de passe expirent – en d’autres termes, un système dans lequel l’utilisateur est forcé de changer le mot de passe de connexion, par exemple six mois – n’est pas une cible de sécurité utile.
Dans un nouveau projet de guide de sécurité, Microsoft a modifié la base de référence de la prochaine version de Windows 10 (mise à jour prochaine, en mai 2019 – en plus de Windows Server) afin de publier des recommandations relatives aux "stratégies d'expiration de mot de passe nécessitant des modifications périodiques de mot de passe".
Microsoft affirme que lorsque les utilisateurs sont obligés de créer des mots de passe difficiles à retenir, ils les écrivent souvent pour les rendre plus faciles à mémoriser, avec des risques évidents de sécurité. Et quand les gens sont obligés de changer les mots de passe, "trop souvent, ils apporteront une modification légère et prévisible à leurs mots de passe existants et / ou oublieront leurs nouveaux mots de passe".
Un article de Microsoft sur TechNet explique plus en détail: "Une étude scientifique récente soulève la question de l’utilité de nombreuses pratiques de sécurité des mots de passe à long terme, telles que les stratégies d’expiration des mots de passe, et pointe plutôt vers de meilleures options telles que l’application des listes de mots de passe interdits (un bon exemple est la protection par mot de passe Azure AD) et l'authentification multifactorielle ".
L'argument est alors que s'il y a un "donné" qu'un mot de passe est susceptible d'être volé à l'utilisateur, combien de temps est une durée acceptable pour permettre au voleur de continuer à utiliser et potentiellement abuser de cette connexion?
La version standard de Windows est actuellement de 42 jours, comme l’indique le message: "Cela ne ressemble pas à une période ridiculement longue? Eh bien, c’est, et pourtant, notre niveau de base actuel indique 60 jours – et disait habituellement 90 jours – car Le fait de forcer les points de vente fréquents crée leurs propres problèmes, et s’il n’est pas indiqué que les mots de passe seront volés, vous aurez ces problèmes sans aucun avantage.
"En outre, si vos utilisateurs sont du genre à accepter de répondre aux sondages dans le parking qui remplacent une barre chocolatée pour leurs mots de passe, la stratégie d'expiration du mot de passe ne vous aidera pas."
C’est bien sûr un argument valable, et la conclusion de Microsoft est que l’expiration des mots de passe pendant une certaine période est une "restriction ancienne et obsolète de très faible valeur" et que la société ne croit pas que la politique de sécurité de base de Windows valeur spécifique de cela.
En d'autres termes, les entreprises sont libres de faire ce qui leur convient le mieux, Microsoft ne faisant aucune recommandation à ce sujet.
Projet de mesures
Veuillez noter qu’il ne s’agit pour le moment que d’un document provisoire, ce qui signifie que ce ne sont que des modifications proposées, mais Microsoft semble avoir avancé un argument de poids.
Bien entendu, ce commutateur (potentiel) en mode de sécurité constitue un guide pour les entreprises, de sorte que, de toute évidence, les utilisateurs de Windows 10 n’affectent pas leur environnement personnel. Cependant, beaucoup d’entre nous utilisons des systèmes ou des services protégés par mot de passe d’un type ou d’un autre au travail et ceux-ci ont souvent des règles de récupération de mot de passe forcées périodiquement.
Ce projet de document peut donc conduire à une réévaluation de la politique susmentionnée, compte tenu des arguments assez puissants de Microsoft mentionnés plus haut – et peut-être que la peine de devoir modifier régulièrement le mot de passe au travail peut faire partie du passé, remplacée par des mesures de sécurité modernes plus efficaces telles que authentification multi-facteurs.
Commentaires
Laisser un commentaire