Actualités
Le chien aboie et le mot de passe

Le NIST propose d’interdire certaines des règles les plus absurdes en matière de mots de passe

Source: https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/ (opens in a new tab)

La semaine dernière, le NIST (Institut national des normes et de la technologie (opens in a new tab)) a publié sa deuxième version publique de la SP 800-63-4, la dernière version de ses directives sur l’identité numérique. Avec environ 35 000 mots et son jargon bureaucratique, le document est presque impossible à lire dans son intégralité, et tout aussi difficile à comprendre. Il définit à la fois les exigences techniques et les meilleures pratiques recommandées pour déterminer la validité des méthodes utilisées pour authentifier les identités numériques en ligne. Les organisations qui interagissent avec le gouvernement fédéral en ligne sont tenues de s'y conformer. La section consacrée aux mots de passe ramène un peu de bon sens parmi certaines politiques courantes. Un exemple : les nouvelles règles interdisent d'obliger les utilisateurs finaux à changer périodiquement leurs mots de passe. Cette exigence est née il y a des décennies, lorsque la sécurité des mots de passe était mal comprise et qu’il était courant que les gens choisissent des noms communs, des mots du dictionnaire et d’autres « secrets » faciles à deviner.

Depuis lors, la plupart des services nécessitent l’utilisation de mots de passe plus forts composés de caractères ou de phrases générés de manière aléatoire. Lorsque les mots de passe sont choisis correctement, l'obligation de les changer périodiquement, généralement tous les un à trois mois, peut en réalité diminuer la sécurité, car cette charge supplémentaire incite à utiliser des mots de passe plus faibles, plus faciles à définir et à mémoriser. Une autre exigence qui fait souvent plus de mal que de bien est l'utilisation obligatoire de certains caractères, comme au moins un chiffre, un caractère spécial et une lettre majuscule et minuscule. Lorsque les mots de passe sont suffisamment longs et aléatoires, il n'y a aucun avantage à exiger ou à restreindre l'utilisation de certains caractères. Et encore une fois, les règles régissant la composition peuvent en fait amener les gens à choisir des codes d'accès plus faibles.

Les dernières directives du NIST stipulent désormais que :

  • Les vérificateurs et les CSP NE PEUVENT PAS imposer d'autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe et
  • Les vérificateurs et les CSP NE PEUVENT PAS exiger des utilisateurs qu'ils changent périodiquement de mot de passe. Cependant, les vérificateurs DOIVENT forcer un changement s'il existe des preuves de compromission de l'authentificateur. (« Vérificateurs » est le terme bureaucratique pour désigner l'entité qui vérifie l'identité du titulaire d'un compte en corroborant les informations d'authentification du titulaire. Abréviation de fournisseur de services d'identification, les « CSP » sont une entité de confiance qui attribue ou enregistre des authentificateurs au titulaire du compte.) Dans les versions précédentes des directives, certaines règles utilisaient les mots « ne devrait pas », ce qui signifie que la pratique n'est pas recommandée comme bonne pratique. « Ne peut pas », en revanche, signifie que la pratique doit être interdite pour qu'une organisation soit en conformité.

Plusieurs autres pratiques de bon sens mentionnées dans le document incluent :

  1. Les vérificateurs et les CSP DOIVENT exiger que les mots de passe comportent au moins huit caractères et DEVRAIENT exiger que les mots de passe comportent au moins 15 caractères.
  2. Les vérificateurs et les CSP DEVRAIENT autoriser une longueur de mot de passe maximale d'au moins 64 caractères.
  3. Les vérificateurs et les CSP DEVRAIENT accepter tous les caractères ASCII [RFC20] d'impression et le caractère espace dans les mots de passe.
  4. Les vérificateurs et les CSP DEVRAIENT accepter les caractères Unicode [ISO/ISC 10646] dans les mots de passe. Chaque point de code Unicode DOIT être compté comme un seul caractère lors de l'évaluation de la longueur du mot de passe.
  5. Les vérificateurs et les CSP NE PEUVENT PAS imposer d'autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe.
  6. Les vérificateurs et les CSP NE PEUVENT PAS exiger des utilisateurs qu'ils changent périodiquement de mot de passe. Cependant, les vérificateurs DEVRAIENT forcer un changement s'il existe des preuves de compromission de l'authentificateur.
  7. Les vérificateurs et les CSP NE PEUVENT PAS permettre à l'abonné de stocker un indice accessible à un demandeur non authentifié.
  8. Les vérificateurs et les CSP NE PEUVENT PAS inciter les abonnés à utiliser l'authentification basée sur les connaissances (KBA) (par exemple, « Quel était le nom de votre premier animal de compagnie ? ») ou des questions de sécurité lors du choix des mots de passe.
  9. Les vérificateurs DEVRAIENT vérifier l'intégralité du mot de passe soumis (c'est-à-dire ne pas le tronquer).
Le vert est moins cherConcept de Fair Source