nouvelles
Microsoft: la règle d’expiration du mot de passe est une valeur faible.
Microsoft insiste sur la sagesse conventionnelle des entreprises qui imposent l'expiration périodique des mots de passe pour sécuriser leurs systèmes Windows.
La semaine dernière, la société a demandé instamment de mettre fin à de telles politiques, affirmant que les gens modifiaient simplement leurs mots de passe de manière prévisible lorsqu'ils étaient forcés de les modifier régulièrement. Selon Microsoft, les entreprises devraient plutôt utiliser une solution qui évite l'utilisation de mots de passe rendus, ainsi que l'authentification multifactorielle, qui est un moyen secondaire de vérification de l'identité d'un utilisateur.
La société a présenté ses arguments dans une ébauche de son dernier conseil fondé sur la sécurité à l'intention des utilisateurs de Windows 10 versions 1903 et Windows Server version 1903. Les meilleures pratiques pour les organisations sont rassemblées dans ces guides basés sur la sécurité. Microsoft n'a pas encore lancé commercialement la version 1903 de Windows 10 ou Windows Server, mais la version "ciblée" du canal pourrait bien arriver à la fin du mois de mai.
Protection par mot de passe et authentification multifacteur
"Des recherches scientifiques récentes appellent à la valeur de nombreuses pratiques de sécurité des mots de passe à long terme, telles que les stratégies d'expiration des mots de passe, et suggèrent plutôt de meilleures options telles que l'application de listes de mots de passe interdits (un bon exemple est la protection par mot de passe Azure AD) et l'authentification à plusieurs facteurs", a déclaré Aaron Margosis. consultant principal de la pratique mondiale en matière de cybersécurité de Microsoft, lors de l’annonce du projet.
Microsoft avait décrit une position similaire l’année dernière, dans la mesure où il était également recommandé que les mots de passe ne soient jamais expirés. Les organisations devraient avoir un moyen d'interdire les mots de passe rendus, mais Microsoft a prétendu exiger des mots de passe longs. En outre, les organisations ne devraient pas exiger l'utilisation de caractères étendus dans les mots de passe, a déclaré Microsoft.
Les recommandations de Microsoft relatives à la sécurité ne sont que des recommandations minimes pour la plupart des entreprises utilisant Windows. Ils sont associés aux paramètres de stratégie de groupe de Windows. Par conséquent, les conseils relatifs à l'utilisation de solutions distantes, telles que la protection par mot de passe Azure Active Directory et l'authentification multifacteur, qui utilise les services en nuage de Microsoft, ont dépassé la portée de la stratégie, explique Margosis.
Microsoft estime seulement que l'application de l'expiration périodique du mot de passe ne serait pas très efficace. Il n'est donc pas prévu d'inclure cet avis dans sa documentation de sécurité, selon Margosis:
L'expiration périodique du mot de passe est une limitation ancienne et obsolète de très faible valeur, et nous ne pensons pas qu'il soit utile de notre base de référence pour appliquer une valeur particulière. En le retirant de notre base de référence plutôt que de recommander une valeur particulière ou l'absence d'expiration, les organisations peuvent choisir celle qui correspond le mieux à leurs besoins, sans résister à nos conseils. Dans le même temps, nous devons répéter que nous recommandons fortement une protection supplémentaire, même si elles ne peuvent pas être exprimées dans nos lignes principales.
Si Microsoft persistait à recommander des modifications périodiques des mots de passe, les entreprises pourraient se "retrouver dans un audit" sans disposer de véritables agents de sécurité, a ajouté Margosis.
La position de Microsoft vis-à-vis des modifications périodiques du mot de passe est contraire aux pratiques informatiques actuelles. Dans un commentaire, un lecteur de l'annonce de Microsoft a déclaré qu'il fallait modifier périodiquement les mots de passe, "contribuant ainsi à réduire le risque réel qu'un mot de passe utilisateur capturé ou cassé pendant un certain temps ne soit plus valide indéfiniment plus tard". En réponse, Margosis a indiqué que les entreprises peuvent toujours exiger des modifications périodiques du mot de passe si elles le souhaitent, mais cela ne fera tout simplement pas partie des recommandations de base de Microsoft.
Autres nouvelles politiques de sécurité
Les nouvelles recommandations pour la ligne de base de la sécurité ont également introduit quelques directives supplémentaires. Par exemple, il existera une nouvelle stratégie "Activer les options de réduction svchost.exe" pour Windows 10 version 1903 et Windows Server version 1903. Elle imposera "tous les modules complémentaires binaires chargés par svchost.exe doivent être signés par Microsoft" et n'autorisera pas le "code généré dynamiquement". Les informaticiens doivent veiller à ce que cette stratégie ne crée pas de conflit avec les "codes tiers" et les "plug-ins tiers de cartes à puce", a averti Margosis.
Microsoft supprime également sa recommandation précédente d'utiliser l'option de cryptage la plus forte avec les lecteurs cryptés BitLocker. L'utilisation du cryptage 128 bits dans BitLocker ne sera probablement pas corrompue, a déclaré Microsoft.
Microsoft suggère de publier ses précédentes recommandations basées sur la sécurité selon lesquelles les comptes administrateur et invité intégrés devraient être désactivés. Cela ne devrait être qu'une option pour les activer, a déclaré Microsoft.
Commentaires
Laisser un commentaire