Le National Institute of Standards and Technology (NIST), l’organisme fédéral qui définit les normes technologiques pour les agences gouvernementales, les organismes de normalisation et les entreprises privées, a proposé d’interdire certaines des exigences les plus vexantes et les plus absurdes en matière de mots de passe. Parmi elles, les plus importantes sont la réinitialisation obligatoire, l’utilisation obligatoire ou restreinte de certains caractères et l’utilisation de questions de Sécurité.
Choisir des mots de passe forts et les stocker en toute sécurité est l’une des parties les plus difficiles d’un bon régime de Cybersécurité. Il est encore plus difficile de se conformer aux règles relatives aux mots de passe imposées par les employeurs, les agences fédérales et les fournisseurs de services en ligne. Souvent, ces règles, censées renforcer l’hygiène de la sécurité, la compromettent en réalité. Et pourtant, les législateurs anonymes imposent quand même ces exigences.
Arrêtez la folie, s’il vous plaît !
La semaine dernière, le NIST a publié son deuxième projet public de SP 800-63-4, la dernière version de ses directives sur l’identité numérique. Avec ses quelque 35 000 mots et son jargon et ses termes bureaucratiques, ce document est pratiquement impossible à lire jusqu’au bout et tout aussi difficile à comprendre dans son intégralité. Il définit à la fois les exigences techniques et les meilleures pratiques recommandées pour déterminer la validité des méthodes utilisées pour authentifier les identités numériques en ligne. Les organisations qui interagissent en ligne avec le gouvernement fédéral sont tenues de s’y conformer.
Une section consacrée aux mots de passe injecte une grande quantité de pratiques de bon sens qui ne sont pas nécessaires et qui remettent en question les politiques courantes. Un exemple : Les nouvelles règles interdisent l’obligation pour les utilisateurs finaux de modifier périodiquement leurs mots de passe. Cette exigence a vu le jour il y a plusieurs décennies, lorsque la sécurité des mots de passe était mal comprise et qu’il était courant de choisir des noms communs, des mots du dictionnaire et d’autres secrets faciles à deviner.
Depuis lors, la plupart des services exigent l’utilisation de mots de passe plus forts, composés de caractères ou de phrases générés de manière aléatoire. Lorsque les mots de passe sont choisis correctement, l’obligation de les modifier périodiquement, généralement tous les un à trois mois, peut en fait diminuer la sécurité, car la charge supplémentaire incite à choisir des mots de passe plus faibles, plus faciles à définir et à mémoriser.
Une autre exigence qui fait souvent plus de mal que de bien est l’utilisation obligatoire de certains caractères, tels qu’au moins un chiffre, un caractère spécial et une lettre majuscule et minuscule. Lorsque les mots de passe sont suffisamment longs et aléatoires, il n’y a aucun avantage à exiger ou à restreindre l’utilisation de certains caractères. Là encore, les règles régissant la composition peuvent inciter les utilisateurs à choisir des codes de passe plus faibles.
Les dernières lignes directrices du NIST stipulent désormais que
- Les vérificateurs et les CSP NE DOIVENT PAS imposer d’autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe et les
- Les organismes vérificateurs et les prestataires de services de certification NE DOIVENT PAS exiger des utilisateurs qu’ils changent périodiquement de mot de passe. Toutefois, les vérificateurs DOIVENT imposer un changement s’il existe des preuves de la compromission de l’authentificateur.
(“Vérificateurs” est un terme bureaucratique désignant l’entité qui vérifie l’identité d’un titulaire de compte en corroborant les références d’authentification du titulaire. Les fournisseurs de services d’authentification sont des entités de confiance qui attribuent ou enregistrent des authentificateurs au titulaire du compte).
Dans les versions précédentes des lignes directrices, certaines règles utilisaient les termes “ne devrait pas”, ce qui signifie que la pratique n’est pas recommandée en tant que meilleure pratique. La mention “ne doit pas”, en revanche, signifie que la pratique doit être interdite pour qu’une organisation soit en conformité.
Le dernier document contient plusieurs autres pratiques de bon sens, notamment
- Vérificateurs et CSP DOIT exiger que les mots de passe soient composés d’au moins huit caractères, et DEVRAIT exiger que les mots de passe comportent au moins 15 caractères.
- Vérificateurs et CSP DEVRAIT permettre une longueur maximale du mot de passe d’au moins 64 caractères.
- Vérificateurs et CSP DEVRAIT accepter toutes les impressions en ASCII [RFC20] et le caractère espace dans les mots de passe.
- Vérificateurs et CSP DEVRAIT accepter Unicode [ISO/ISC 10646] dans les mots de passe. Chaque point de code Unicode DOIT être considéré comme un seul caractère lors de l’évaluation de la longueur du mot de passe.
- Vérificateurs et CSP NE DOIT PAS imposer d’autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe.
- Vérificateurs et CSP NE DOIT PAS exiger des utilisateurs qu’ils changent périodiquement de mot de passe. Toutefois, les vérificateurs DOIVENT imposer un changement s’il existe des preuves de la compromission de l’authentificateur.
- Vérificateurs et CSP NE DOIT PAS permettre à l’abonné de stocker un indice accessible à un demandeur non authentifié.
- Vérificateurs et CSP NE DOIT PAS inviter les abonnés à utiliser l’authentification basée sur la connaissance (KBA) (par exemple, “Quel était le nom de votre premier animal de compagnie ?”) ou des questions de sécurité lors du choix des mots de passe.
- Vérificateurs DOIT vérifier l’intégralité du mot de passe soumis (c’est-à-dire ne pas le tronquer).
Depuis des années, les critiques dénoncent la folie et les préjudices résultant de nombreuses règles de mot de passe couramment appliquées. Pourtant, les banques, les services en ligne et les agences gouvernementales se sont largement accrochés à ces règles. Les nouvelles lignes directrices, si elles deviennent définitives, ne sont pas universellement contraignantes, mais elles pourraient fournir des arguments convaincants en faveur de l’élimination de ces absurdités.
Le NIST invite les gens à soumettre leurs commentaires sur les lignes directrices à dig-comments@nist.gov avant 23h59, heure de l’Est, le 7 octobre.
Jad MARCHI est un ardent défenseur de la technologie, passionné par son potentiel de transformation. Ayant accumulé une décennie d’expérience dans le secteur technologique, Jean a travaillé sur une variété de projets innovants qui l’ont amené à comprendre le paysage changeant de ce domaine. Il est fasciné par l’évolution rapide de la technologie et son impact sur notre société. Que ce soit l’intelligence artificielle, la robotique, la blockchain ou la cybersécurité, il est toujours à la recherche des dernières tendances. Ses articles cherchent à informer, à inspirer et à provoquer des réflexions sur la façon dont la technologie façonne notre avenir.