Le NIST a simplifié ses directives sur les mots de passe, abandonnant la complexité, réclamant des mots de passe longs et recommandant l’authentification multifactorielle pour renforcer la sécurité.
Le National Institute of Standards and Technology (NIST) a récemment mis à jour ses recommandations en matière de gestion des mots de passe, marquant un tournant significatif dans la manière dont les organisations devraient aborder la sécurité des identifiants utilisateurs.
Auparavant, les exigences strictes de complexité des mots de passe étaient au cœur des bonnes pratiques de cybersécurité. Ces critères imposaient l’utilisation de caractères spéciaux, majuscules, chiffres et autres combinaisons compliquées, souvent difficiles à mémoriser pour les utilisateurs. Désormais, ces règles de complexité sont en grande partie abandonnées.
Les nouvelles directives du NIST suppriment ces exigences de complexité des mots de passe, car elles se sont révélées inefficaces face aux menaces modernes. Les utilisateurs, pour s’adapter à ces règles complexes, avaient tendance à créer des mots de passe prévisibles ou à les réutiliser, augmentant ainsi les risques de compromission.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Cette évolution repose sur l’idée que des mots de passe longs mais plus simples sont souvent plus sûrs et plus faciles à retenir. Le NIST recommande que les mots de passe soient d’une longueur minimale de huit caractères et devraient idéalement atteindre une longueur minimale de 15 caractères pour une sécurité renforcée. En pratique, un mot de passe de type « phrase de passe », plus long mais simple, présente une meilleure résistance aux attaques par force brute.
Vers la fin des changements obligatoires de mot de passe
L’un des autres changements majeurs introduits par le NIST concerne la fin de la nécessité de changer régulièrement les mots de passe, sauf en cas de compromission avérée. Historiquement, les entreprises forçaient les utilisateurs à renouveler fréquemment leurs mots de passe,. Il s’avère que ces rotations fréquentes n’amélioraient cependant pas la sécurité, car les utilisateurs optaient pour des modifications minimes, rendant leurs nouveaux mots de passe tout aussi vulnérables que les précédents.
Le NIST recommande désormais de ne plus imposer ces changements obligatoires à intervalles réguliers. La priorité est donnée à la surveillance proactive des menaces et à l’utilisation d’outils permettant de détecter des failles potentielles, tels que les vérifications automatiques de bases de données de mots de passe compromis. Cette approche vise à équilibrer la sécurité avec la facilité d’utilisation, tout en réduisant les mauvaises pratiques qui en résultaient.
Encouragement à l’utilisation de l’authentification multifactorielle
Bien que les exigences de complexité des mots de passe aient été assouplies, le NIST met fortement l’accent sur l’utilisation de l’authentification multifactorielle (MFA) comme une mesure complémentaire essentielle.
L’authentification multifactorielle ajoute une couche de sécurité supplémentaire en demandant aux utilisateurs de confirmer leur identité avec un élément supplémentaire, tel qu’un code envoyé par SMS ou une application de vérification. Ce mécanisme permet de réduire considérablement les risques en cas de compromission d’un mot de passe, car un attaquant ne pourra pas accéder à un compte uniquement avec ce dernier.
Le recours à la MFA est présenté comme une mesure clé pour renforcer la sécurité des accès sans compliquer inutilement la gestion des mots de passe pour les utilisateurs. Cela souligne l’importance de déployer des solutions robustes de gestion des identités et des accès (IAM), en vue de renforcer la sécurité tout en réduisant la dépendance aux seuls mots de passe.
Pour en savoir plus
Le NIST abandonne la complexité des mots de passe et les règles de réinitialisation obligatoire
La dernière version préliminaire des directives du NIST en matière de mots de passe simplifie les meilleures pratiques de gestion des mots de passe et élimine celles qui ne favorisent pas une sécurité renforcée.
La nouvelle version proposée en consultation:
NIST Special Publication 800-63B
NIST Special Publication 800-63B
(Re)découvrez également:
Qu’est-ce qu’une clé de passe et comment fonctionne-t-elle?
L’émergence des clés de passe en 2023 représente une avancée majeure pour la sécurité en ligne. Ces clés offrent même une authentification plus sécurisée et une expérience utilisateur améliorée.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
