Changer périodiquement les mots de passe peut s’avérer moins sûr à long terme, selon les experts du NIST.

MADRID, 2 octobre (Portaltic/EP) –

Experts de Institut nord-américain de technologie et de normes (NIST) ont mis à jour leurs directives pour garantir la sécurité des mots de passe, en supprimant le recommandation de changer les mots de passe périodiquementétant donné que peut créer l’effet inverse en amenant les utilisateurs à rechercher de plus en plus d’options de mot de passe moins sécurisées.

Les mots de passe sont l’un des formes d’authentification les plus utilisées par les utilisateurs, que ce soit lors de la connexion à un service, comme barrière au stockage d’informations personnelles ou pour déverrouiller des appareils.

C’est un code composé d’une série de caractères que les utilisateurs génèrent secrètement. En ce sens, afin de garantir la sécurité de ces clés, les experts recommandent généralement qu’elles atteignent une certaine longueur et combinent des lettres, des chiffres, des symboles, des lettres majuscules et minuscules, et indiquent même la nécessité de les changer de temps en temps pour éviter d’être brisés en cas de filtration.

Ces types de directives ont été recommandées ces dernières années comme mesures de sécurité fiables. NIST, Organisation américaine dédiée à l’établissement de normes technologiques pour les organisations gouvernementales et privées, a démantelé certaines de ces recommandations dans sa dernière projet de document public Lignes directrices sur l’identité numérique.

Plus précisément, une de ces rectifications revoir la recommandation de changer périodiquement les mots de passe. Comme détaillé par le NIST dans le Section Authentificateurs de mots de passe, Vérificateurs et politiques de sécurité du contenu (CSP) “les utilisateurs ne devraient pas être obligés” de mettre en œuvre cette recommandationà moins qu’il n’y ait un preuve que “l’authentificateur est compromis”.

En effet, comme l’a expliqué l’organisation, le Les utilisateurs ont tendance à générer des mots de passe de plus en plus simples dont ils peuvent se souvenir quand ils doivent les changer régulièrement. Cela les rend moins résistant aux cyberattaques et les fuites de données.

D’un autre côté, les experts du NIST ont également fait référence à la recommandation d’utiliser différents types de caractères dans le même mot de passe. À cet égard, il a été précisé que les vérificateurs et les CSP « ne devraient pas imposer d’autres règles de composition » pour les mots de passe.

Bien que ces règles de composition soient utilisées pour accroître la difficulté de deviner les mots de passe choisis par l’utilisateur, « des recherches récentes ont montré que “Les utilisateurs réagissent de manière très prévisible aux exigences imposées par les règles de composition.”

Comme ils le soulignent, ces règles Ils provoquent uniquement des modifications telles que la saisie d’un chiffre ou d’un symbole totalement prévisible pour les cybercriminels.. Par exemple, un utilisateur qui choisit le mot « mot de passe » comme mot de passe « serait relativement susceptible de choisir « Mot de passe1 » si on lui demandait d’inclure une lettre majuscule et un chiffre ou « Mot de passe1 ! si un symbole est également requis.”

“Los L’analyse des bases de données de mots de passe violés révèle que l’avantage de ces règles est moins important qu’on ne le pensait initialement.et les impacts sur la convivialité et la mémorisation sont sérieux”, a statué le NIST sur la question.

Malgré ces changements dans les recommandations, les experts ont également maintenu d’autres lignes directrices, telles que obtenir une longueur de caractère appropriée lors de la génération d’un mot de passe pour augmenter la difficulté.

Plus précisément, l’organisation a précisé que les vérificateurs et les CSP « doivent exiger Les mots de passe doivent comporter au moins huit caractères“, même s’il a également souligné que, pour garantir la sécurité, les mots de passe devraient comporter un minimum de 15 caractères. Cependant, ils ont précisé que le La longueur maximale recommandée pour les mots de passe est de 64 caractères.