Management de mot de passe

Les règles et politiques relatives à la complexité et à la durée de vie des mots de passe devraient fournir des indications claires sur la question de savoir si un mot de passe est suffisamment résistant aux attaques de divers types, y compris la force brute, le dictionnaire et l'ingénierie sociale. Il ne devrait pas appartenir à l'utilisateur d'évaluer la force du mot de passe.

Les politiques en matière de mots de passe des structures de conseil officielles ont évolué de façon critique. Nous ne pouvons plus vous conseiller d'avoir un mot de passe de plus de 10 caractères avec une combinaison de types de caractères.

Le National Institute of Standards and Technology (NIST) des États-Unis, l'une des références reconnues dans le monde entier, a publié de nouvelles directives concernant les mots de passe :

  •     Pas besoin de changer votre mot de passe tous les mois si vous utilisez l'authentification multi-facteurs.
    Des études ont montré qu'il est contre-productif pour une bonne sécurité de mot de passe d'exiger un changement de mot de passe souvent, même si cela a été la pratique pendant longtemps. Il est plus utile d'utiliser l'authentification multifactorielle à la fois avec une phrase de chiffrement, facile à mémoriser, difficile à deviner.
  •     Utilisez une phrase de chiffrement au lieu d'un mot de passe complexe
     Mélanger les majuscules, les chiffres et les lettres est inutile et délicat à garder à l'esprit. Essayez plutôt de trouver une combinaison de mots faciles à retenir mais difficiles à deviner. Les mots de passe trop faciles peuvent être attaqués par des logiciels spécialisés qui combinent des attaques par force brute (dictionnaires, hashes...) avec des algorithmes de variation pour les caractères populaires. L'utilisation d'une phrase de chiffrement personnelle allonge considérablement le temps nécessaire au logiciel pour la pirater.
  •     Avoir une liste des mots de passe utilisés et compromis et rendre obligatoire le filtrage de ces mots de passe.
     C'est l'un des meilleurs moyens de contrer la faiblesse des mots de passe. L'une des meilleures façons d'augmenter la force des mots de passe de vos utilisateurs est de les comparer à des listes de mots de passe de dictionnaires et de mots de passe compromis connus.