Comme vous le savez déjà, Microsoft a modifié son guide de politique d'expiration des mots de passe. En mai 2019, ils ont publié
un article de blog expliquant la décision.
Les experts en cybersécurité savent que la personne moyenne a un mot de passe facile à saisir et donc facile à récupérer sur un ordinateur. De plus, la nécessité de le changer une fois tous les quelques mois ne change pas le fait que de tels mots de passe sont faciles à saisir. La puissance des ordinateurs modernes vous permet de forcer brutalement un mot de passe de 8 caractères alphanumériques en quelques heures. Changer un ou deux des huit caractères ne rendra pas la tâche plus difficile.
Beaucoup de temps s'est écoulé depuis la publication des recommandations de Microsoft, et il est temps de tirer des conclusions, cela vaut-il la peine de se débarrasser complètement de l'expiration des mots de passe? En fait, pas si simple.
La politique d'expiration des mots de passe n'est qu'une des briques du mur de la cybersécurité. Ne prenez pas l'une des briques du mur si vous n'avez pas d'autres méthodes de protection pour compenser cette action. Par conséquent, il est préférable de se concentrer sur les facteurs de risque les plus importants dans l'organisation et d'élaborer une stratégie de cybersécurité de manière à les réduire.
Pourquoi se débarrasser des politiques d'expiration des mots de passe?
L'argument de Microsoft sur cette question est que les politiques d'expiration des mots de passe ont peu de valeur en termes de sécurité des informations. En conséquence, ils ne recommandent plus leur utilisation et ont exclu cet élément de la structure du niveau fondamental de cybersécurité de Microsoft.
Mais Microsoft ne demande pas de désactiver toutes vos stratégies de mot de passe tout de suite. Ils vous informent seulement que votre stratégie de sécurité nécessite plus que l'expiration des mots de passe.
Dois-je supprimer la politique de mot de passe?
La plupart des organisations devraient laisser la politique d'expiration des mots de passe inchangée. Réfléchissez à la question simple suivante: que se passe-t-il si un mot de passe est volé à un utilisateur?
Les politiques de mot de passe aident à réduire la pression de l'attaquant en bloquant son canal d'accès vital à l'intérieur du réseau. Plus le mot de passe est court, moins il reste de temps pour compromettre le système et les données de sortie (sauf si l'attaquant a utilisé un autre point d'entrée). Microsoft estime que toutes les mêmes politiques, visant initialement à éliminer les mots de passe compromis de la rotation, encouragent en fait uniquement les mauvaises pratiques - par exemple, la réutilisation et une faible itération (vesna2019, leto2019, zima2019) des mots de passe, des astuces sur les moniteurs, etc.
En un mot, Microsoft estime que le risque de mauvaises pratiques de mot de passe est en fait plus élevé que les avantages de la mise en œuvre de politiques d'expiration. Chez Varonis, nous sommes en partie d'accord avec cela, mais en fait il y a une forte incompréhension de ce que l'entreprise doit être prête à rejeter de telles politiques.
Ce changement améliore considérablement l'expérience utilisateur et est facile à mettre en œuvre, mais au final, il est possible que vous n'augmentiez les risques globaux que si vous ne respectez pas les autres meilleures pratiques du secteur, telles que:
- phrases secrètes : forcer des mots de passe longs (16 caractères ou plus) et complexes augmente la difficulté de les casser. L'ancien standard d'au moins 8 caractères est craqué en quelques heures sur les PC modernes.
- modèle d'accès minimal nécessaire : dans un monde où la constance n'est jamais violée, il est essentiel de savoir que l'utilisateur n'a accès qu'à la quantité minimale de données nécessaire.
- suivi du comportement : vous devez être en mesure de détecter la compromission du compte en fonction des écarts par rapport à la connexion normale et à l'utilisation de données non standard. Dans ce cas, l'analyse des statistiques n'aidera pas.
- authentification multifacteur : même si l'attaquant connaît le nom d'utilisateur et le mot de passe, l'authentification multifacteur est un obstacle sérieux pour l'attaquant moyen.
Les mots de passe sont-ils enfin en train de mourir?
C'est la principale question, n'est-ce pas?
Il existe plusieurs technologies cherchant à remplacer les mots de passe comme protocole d'authentification de facto. FIDO2 stocke les informations d'identification sur un périphérique physique. La biométrie, malgré les doutes sur «l'unicité mais le manque d'intimité», est également une option potentielle.
Le nouveau paradigme consiste à rechercher des méthodes d'authentification qui ne peuvent pas être
transmises accidentellement ou facilement volées . Mais jusqu'à présent, ces technologies ne se sont pas éloignées des entreprises
secteurs dans le courant dominant. D'ici là, Varonis recommande de laisser inchangées vos politiques d'expiration de mot de passe et de considérer que les inconvénients des utilisateurs sont faibles au nom du bien commun.
Comment Varonis aide à protéger contre le vol d'identité
Varonis offre une protection supplémentaire pour améliorer vos politiques de mot de passe. Nous suivons l'activité des fichiers, les événements dans
Active Directory , la
télémétrie de périmètre et d'autres ressources pour créer un modèle de base du comportement des utilisateurs. Ensuite, nous le comparons avec le comportement actuel basé sur les
modèles de menace intégrés pour comprendre si le compte est compromis.
Le tableau de bord Active Directory affiche les comptes qui sont à risque de compromis, tels que les comptes de service avec des privilèges administratifs, un mot de passe sans date d'expiration ou non conforme aux exigences spécifiées dans les stratégies. Les modèles de menace révèlent également diverses variantes d'anomalies de connexion, telles que la saisie à une heure non standard de la journée, la saisie à partir d'un nouvel appareil, une force brute potentielle ou une attaque de récupération de ticket.
D'ici là, il vaut mieux laisser vos politiques d'expiration de mot de passe en place.
Et si vous voulez regarder Varonis en action, inscrivez-vous à notre
démonstration en direct des cyberattaques . Nous montrerons comment mener une attaque et montrerons comment détecter et enquêter sur de tels incidents sur la base de notre plateforme.