Vous forcer à changer votre mot de passe régulièrement ne sert à rien, c’est Microsoft qui le dit
Les sites et applications qui vous demandent de changer votre mot de passe à intervalles réguliers seraient dans l’erreur.
C’est une scène commune pour toute personne utilisant des services web, ou tout simplement un ordinateur. Tous les X jours, en tentant d’accéder à votre compte, on vous demande de choisir un nouveau mot de passe « pour votre sécurité ». Et bien sûr, celui-ci doit être totalement différent, ne pas être un de vos précédents mots de passe et respecter diverses instructions pour être suffisamment sécurisé. Cela peut se révéler rapidement fastidieux et chronophage. Mais si c’est utile… D’ailleurs, est-ce vraiment utile ?
Il semble que Microsoft ne soit pas de cet avis. La firme vient de supprimer la règle d’expiration des mots de passe dans sa politique de sécurité de Windows 10. Dans la version finale de sa « security baseline » pour Windows 10 v1903 et pour Windows Server v1903, Microsoft est très clair. Si le niveau de sécurité des mots de passe choisis par les utilisateurs pose souvent problème car il n’est pas suffisant, vous obliger à le changer régulièrement n’est pas une solution. « L’expiration périodique du mot de passe est un moyen de défense uniquement contre la probabilité qu’un mot de passe (ou un hachage) soit volé pendant sa période de validité et soit utilisé par une entité non autorisée. Si un mot de passe n’est jamais volé, il n’est pas nécessaire de le faire expirer. Et si vous avez la preuve qu’un mot de passe a été volé, vous agiriez probablement immédiatement plutôt que d’attendre l’expiration pour résoudre le problème. »
Microsoft donne également quelques pistes sur des techniques bien plus utiles pour vous protéger : « Si une organisation a implémenté avec succès des listes de mots de passe interdits, une authentification à facteurs multiples et la détection de tentatives de connexion anormales, a-t-elle besoin d’une expiration périodique du mot de passe ? Et si elle n’a pas mis en œuvre ces mesures, quelle protection réelle apportera l’expiration du mot de passe ?« . Le signal est clair et change la donne de la gestion actuelle des mots de passe par beaucoup d’acteurs du web. D’autres suivront-ils ?
[UPDATE] Microsoft recommendation to NOT force user password changes on a schedule is now their official published security guidance for Windows customers. This obviates decades of common-knowledge, in response to evidence it’s actually harmful to securityhttps://t.co/JHYO4GweW6
— SwiftOnSecurity (@SwiftOnSecurity) May 31, 2019
Pour afficher ce contenu issu des réseaux sociaux, vous devez accepter les cookies et traceurs publicitaires.
Ces cookies et traceurs permettent à nos partenaires de vous proposer des publicités et des contenus personnalisés en fonction de votre navigation, de votre profil et de vos centres d’intérêt.Plus d’infos.
Vous travaillez dans le domaine du digital ?
Nous réalisons une courte enquête, pour connaître vos usages de l'IA
Je participeLes meilleurs outils productivité
Efalia Process
Zoho Workplace
