Windows 10: les fossés Microsoft sont "anciens, obsolètes", stratégie de mot de passe d'expiration
Le cofondateur de Microsoft, Bill Gates, a prédit la mort des mots de passe depuis près de 20 ans. Ils sont toujours avec nous aujourd'hui, mais la société a maintenant décidé qu'il était temps de se débarrasser de l'une des règles les plus ridicules qui permettait de faire du mot de passe un problème en premier lieu: les modifications périodiques obligatoires du mot de passe.
La société prévoit de publier des stratégies de mot de passe sortant dans les paramètres de configuration de sécurité de base pour Windows 10 1903 ou la mise à jour de mai 2019 et pour Windows Server 1903.
"L'expiration périodique du mot de passe est une restriction ancienne et obsolète à très faible valeur. Nous ne pensons pas qu'il soit utile que notre base de référence applique une valeur particulière", explique Aaron Margosis, consultant en chef chez Microsoft.
Les organisations pourront désormais choisir leur propre date d'expiration pour le mot de passe ou choisir de ne pas en avoir du tout.
SE: 20 astuces professionnelles pour que Windows 10 fonctionne comme vous le souhaitez (PDF gratuit)
Comme l'explique Margosis, les utilisateurs sont régulièrement obligés de choisir un nouveau mot de passe. Une défense est uniquement opposée à un mot de passe valide ou un mot de passe haché par un mot de passe est utilisé par une personne non autorisée. Bien que la stratégie n'offre pas beaucoup de protection, elle crée un mal de tête qui fait des mots de passe un problème encore plus important.
"Lorsque des personnes sont obligées de modifier leurs mots de passe, elles apportent souvent une modification légère et prévisible aux mots de passe existants et / ou oublient les nouveaux mots de passe. Lorsque les mots de passe ou les hachages qui leur sont associés sont volés, il peut être difficile de les détecter au mieux. ou limiter leur utilisation non autorisée ".
La proposition de Microsoft est conforme à la révision faite il y a deux ans par le NIST (Institut national de la normalisation et de la technologie des États-Unis) sur les règles relatives aux mots de passe, qui supprimait les modifications périodiques du mot de passe et la complexité de celui-ci.
La mise à jour recommandait également aux organisations de ne pas utiliser de nouveaux mots de passe, ce qui se trouve souvent dans les violations de données, telles que "123456" ou "qwerty" – deux qui figurent souvent dans l'analyse de rupture du National Cyber Security Centre britannique pour dresser la liste des pires 100 000 mots de passe.
Microsoft ne modifie pas la longueur minimale du mot de passe, l'historique ou la complexité. Il recommande également l'utilisation d'outils tels que les outils de protection de mot de passe Azure Active Directory, que les administrateurs peuvent utiliser pour interdire les lois courantes, telles que les "mots de passe" et leurs variantes, telles que "p @ $$ word".
Margosis décrit plusieurs contradictions dans la base existante qui rendent la politique d’expiration du mot de passe totalement inutile. Actuellement, Windows suggère 42 jours, mais la base de référence existante est de 60 jours, contre 90 jours auparavant.
"S'il est indiqué qu'un mot de passe risque d'être volé, combien de jours est une durée acceptable pour que le voleur puisse continuer à utiliser le mot de passe volé? Le délai standard de Windows est de 42 jours. Cela ne semble-t-il pas ridiculement long?" demander à Margosis.
La base de référence mise à jour peut avoir un effet positif sur les organisations qui passent en revue quelqu'un qui utilise la base de sécurité de Microsoft.
Par exemple, une entreprise peut avoir mis en place des listes de mots de passe interdits, une authentification à deux facteurs et une reconnaissance d'attaque de mot de passe, mais ces vérifications peuvent être pénalisées lors de l'audit si la conformité de la proposition de Microsoft à 60 jours n'a pas été jugée satisfaisante.
"Lors de l'audit, il n'est pas rare que les entreprises considèrent les chiffres de conformité comme plus importants que la véritable sécurité", explique Margosis.
"Si une base de référence recommande 60 jours et qu'une organisation avec une protection avancée choisit pendant 365 jours – ou aucune date d'expiration -, elle sera évitée lors d'un audit et pourrait être obligée de se conformer à la recommandation de 60 jours."
Commentaires
Laisser un commentaire