Geekly articles weekly

Le changement de mot de passe périodique est une pratique dépassée, il est temps de l'abandonner

De nombreux systèmes informatiques ont une règle obligatoire pour changer périodiquement les mots de passe. C'est peut-être l'exigence la plus détestée et la plus inutile des systèmes de sécurité. Certains utilisateurs comme un hack de vie changent simplement le nombre à la fin.

Cette pratique a causé beaucoup d'inconvénients. Cependant, les gens ont dû endurer, parce que c'est pour la sécurité . Maintenant, ce conseil est complètement hors de propos. En mai 2019, même Microsoft a finalement supprimé l'obligation de changer périodiquement les mots de passe du niveau de base des exigences de sécurité pour les versions personnelles et serveur de Windows 10: voici une déclaration de blog officielle répertoriant les modifications apportées à Windows 10 v 1903 (notez la phrase Suppression du mot de passe -expiration politiques qui nécessitent des changements de mot de passe périodiques ). Les règles et stratégies système elles-mêmes de Windows 10 version 1903 et de la base de sécurité de Windows Server 2019 sont incluses dans Microsoft Security Compliance Toolkit 1.0 .

Vous pouvez montrer ces documents à vos supérieurs et dire: les temps ont changé. Changement de mot de passe obligatoire - archaïsme, maintenant presque officiellement. Même un audit de sécurité ne vérifiera plus cette exigence (s'il se concentre sur les règles officielles de protection de base des ordinateurs Windows).


Un fragment de la liste avec les politiques de sécurité de base de Windows 10 v1809 et des modifications en 1903, où les politiques d'expiration de mot de passe correspondantes ne s'appliquent plus. Par ailleurs, dans la nouvelle version, les comptes administrateur et invité sont également annulés par défaut.

Microsoft explique populairement sur le blog pourquoi il a abandonné la règle des changements de mot de passe obligatoires: «L'expiration périodique du mot de passe n'est qu'une protection contre la probabilité que le mot de passe (ou le hachage) soit volé pendant sa période de validité et sera utilisé par une personne non autorisée. Si le mot de passe n'est pas volé, il est inutile de le changer. Et si vous avez la preuve que le mot de passe a été volé, vous voulez évidemment agir immédiatement et ne pas attendre la date d'expiration pour résoudre le problème. »

Microsoft explique en outre que dans les conditions modernes, il est faux de se protéger contre le vol de mot de passe en utilisant cette méthode: «S'il est connu que le mot de passe est susceptible d'être volé, combien de jours est une période de temps acceptable pour permettre au voleur d'utiliser ce mot de passe volé? La valeur par défaut est de 42 jours. Cela ne semble-t-il pas ridiculement long? En effet, c'est un temps très long, et pourtant notre base de référence actuelle a été fixée à 60 jours - et plus tôt à 90 jours - parce que forcer une expiration fréquente introduit ses propres problèmes. Et si le mot de passe n'est pas nécessairement volé, vous obtenez ces problèmes sans aucun avantage. En outre, si vos utilisateurs souhaitent échanger le mot de passe contre des bonbons, aucune politique d'expiration du mot de passe ne sera utile. »

Alternative


Microsoft écrit que ses politiques de sécurité de base sont conçues pour être utilisées par des entreprises bien gérées et soucieuses de la sécurité. Ils sont également appelés à fournir des conseils aux auditeurs. Si une telle organisation a mis en place des listes de mots de passe interdits, une authentification multifacteur, la détection d'attaques avec des mots de passe de force brute et la détection de tentatives anormales pour entrer dans le système, une expiration périodique du mot de passe est-elle requise? Et s'ils n'ont pas mis en œuvre des fonctionnalités de sécurité modernes, l'expiration du mot de passe les aidera-t-elle?

La logique de Microsoft est étonnamment convaincante. Nous avons deux options:

  1. L'entreprise a mis en place des mesures de sécurité modernes.
  2. L'entreprise n'a pas mis en place de mesures de sécurité modernes.

Dans le premier cas, les changements de mot de passe périodiques n'offrent pas d'avantages supplémentaires.

Dans le second cas, un changement de mot de passe périodique est inutile.

Ainsi, au lieu de l'expiration du mot de passe, il est nécessaire d'utiliser tout d'abord l' authentification multifactorielle . Des mesures de sécurité supplémentaires sont répertoriées ci-dessus: listes de mots de passe interdits, détection de force brute et autres tentatives de connexion anormales.

« L'expiration périodique des mots de passe est une mesure de sécurité ancienne et obsolète », résume Microsoft, «et nous ne pensons pas qu'une valeur spécifique devrait être utilisée pour notre niveau de protection de base. En le supprimant de notre niveau de base, les organisations peuvent choisir ce qui convient le mieux à leurs besoins, sans contredire nos recommandations. »

Conclusion


Si une entreprise oblige aujourd'hui les utilisateurs à changer périodiquement les mots de passe, que pourrait penser un observateur extérieur?

  1. Éléments fournis: l' entreprise utilise un mécanisme de défense archaïque.
  2. Hypothèse: l' entreprise n'a pas mis en place de mécanismes de défense modernes.
  3. Conclusion: ces mots de passe sont plus faciles à obtenir et à utiliser.

Il s'avère que le changement périodique de mots de passe fait de l'entreprise une cible plus attrayante pour les attaques.




Source: https://habr.com/ru/post/fr457036/

More articles:


All Articles