Obliger les utilisateurs à changer régulièrement leur mot de passe ne fait plus partie des recommandations de Microsoft. L’éditeur est en passe de retirer cette préconisation de son guide de sécurité destiné aux administrateurs système Windows.
Microsoft justifie sa décision en expliquant que cette mesure n’est plus efficace aujourd’hui et qu’il y en a d’autres à prendre en priorité. Pire, ce renouvellement obligatoire, dont la fréquence conseillée est de 60 jours, peut même avoir l’effet inverse de celui visé.
« Quand les gens sont obligés de changer de mots de passe, ils font trop souvent des changements mineurs et prévisibles de leurs mots de passe existants, et peuvent même les oublier », indique Aaron Margosis, consultant chez Microsoft.
Votre compte protégé par le mot de passe « Toto19–03 » ne résistera pas longtemps si votre mot de passe précédent « Toto19–02 » a fuité. Soit le malandrin qui veut accéder à votre compte le déduira tout seul, soit une attaque par force brute aura tôt fait de le tester. Et puis si c’est « Toto19–03 » qui fuite directement, le malandrin sera libre d’utiliser votre compte pendant 60 jours maximum, s’il n’est pas repéré par la patrouille.
« Si une organisation a mis en place une liste noire de mots de passe (« azerty », « 123456 », ndr), une authentification à deux facteurs, une détection d’attaques par prédictions et une détection de tentatives de connexions anormales, a-t-elle besoin d’une expiration automatique des mots de passe ? », fait valoir Aaron Margosis, dont la réponse est donc « non ».
Le spécialiste de la sécurité insiste sur le fait qu’il y a de bien meilleures mesures à prendre, dont celles qu’il cite justement. Il n’empêche pas les entreprises de mettre encore en œuvre un renouvellement obligatoire, mais ça ne fait plus partie du socle essentiel.
Pour rappel, un bon mot de passe est un mot de passe unique, long et complexe, tout en étant facile à retenir (pour vous). Vous trouverez plus de conseils et d’explications dans notre dossier sur le sujet.
