changer périodiquement votre mot de passe peut être plus dangereux à long terme

Cependant, changer constamment les mots de passe n’est pas toujours la meilleure stratégie. Les experts de l’Institut nord-américain de technologie et de normes (NIST) ont mis à jour leurs directives pour garantir la sécurité des mots de passe, en éliminant la recommandation de les modifier périodiquement, car cela peut créer l’effet inverse en obligeant les utilisateurs à rechercher de plus en plus d’options de mot de passe moins sûres.

Les mots de passe sont des codes constitués d’une série de caractères que les utilisateurs génèrent secrètement. En ce sens, afin de garantir la sécurité de ces clés, les experts recommandent généralement qu’elles atteignent une certaine longueur et combinent des lettres, des chiffres, des symboles, des lettres majuscules et minuscules, et indiquent même la nécessité de les changer de temps en temps pour éviter d’être brisés en cas de filtration.

Ces types de lignes directrices ont été recommandées ces dernières années comme mesures de sécurité fiables, cependant, le NIST, une organisation américaine dédiée à l’établissement de normes technologiques pour les organisations gouvernementales et privées, a démantelé certaines de ces recommandations dans sa dernière version publique du document d’orientation Lignes directrices. sur l’identité numérique.

Plus précisément, l’une de ces corrections revoit la recommandation de changer périodiquement les mots de passe. Comme le détaille le NIST dans la section Authentificateurs de mots de passe, les politiques de sécurité du contenu (CSP) et les vérificateurs « ne devraient pas exiger des utilisateurs » qu’ils mettent en œuvre cette recommandation, à moins qu’il n’y ait des preuves que « l’authentificateur est compromis ».

Nous avons tendance à générer des mots de passe pires

En effet, comme l’explique l’organisation, les utilisateurs ont tendance à générer des mots de passe de plus en plus simples dont ils peuvent se souvenir lorsqu’ils doivent les changer régulièrement. Cela les rend moins résistants aux cyberattaques et aux fuites de données.

D’un autre côté, les experts du NIST ont également fait référence à la recommandation d’utiliser différents types de caractères dans le même mot de passe. À cet égard, il a été précisé que les vérificateurs et les CSP « ne devraient pas imposer d’autres règles de composition » pour les mots de passe.

Bien que ces règles de composition soient utilisées pour augmenter la difficulté de deviner les mots de passe choisis par l’utilisateur, “des recherches récentes ont montré que les utilisateurs réagissent de manière très prévisible aux exigences imposées par les règles de composition”.

Comme ils le soulignent, ces règles n’entraînent que des changements tels que l’introduction d’un chiffre ou d’un symbole totalement prévisible pour les cybercriminels. Par exemple, un utilisateur qui choisit le mot « mot de passe » comme mot de passe « serait relativement susceptible de choisir « Mot de passe1 » si on lui demandait d’inclure une lettre majuscule et un chiffre ou « Mot de passe1 ! si un symbole est également requis.

“Les analyses des bases de données de mots de passe violées révèlent que les avantages de telles règles sont moins importants qu’on ne le pensait initialement, et que les impacts sur la convivialité et la mémorisation sont sérieux”, a déclaré le NIST.

Conseils pour améliorer la sécurité des mots de passe

Malgré ces changements de recommandations, les experts ont également maintenu d’autres lignes directrices, comme atteindre une longueur de caractères appropriée lors de la génération d’un mot de passe pour augmenter la difficulté.

Plus précisément, l’agence a précisé que les vérificateurs et les CSP « doivent exiger que les mots de passe comportent au moins huit caractères », bien qu’elle ait également indiqué que, pour garantir la sécurité, les mots de passe devraient comporter au moins 15 caractères. Ils ont toutefois précisé que la longueur maximale recommandée pour les mots de passe est de 64 caractères.