Ne pas changer ses mots de passe régulièrement ?

commentaire(s)

Le sujet des mots de passe est au cœur des problématiques de sécurité informatique, que ce soit sur votre ordinateur personnel ou bien sur internet. Quelle taille, quelle variété de types de caractères pour le composer, motifs de mots de passe ou mots de passe aléatoires (a priori les plus efficaces, mais impossibles à retenir), comment stocker ses mots de passe, les solutions pour ne plus avoir de mots de passe… autant de questions qui reviendront encore pendant des années et feront couler de l’encre, car avec l’évolution des technologies, les bonnes pratiques changent.

Aujourd’hui, Bruno, le veilleur IT de Protegor, m’a dégoté un article qui remet en cause la règle du changement forcé de mot de passe. Cela m’a assez surpris et je voulais partager.

Ceux qui travaillent dans une entreprise qui dispose d’un service informatique qui s’est penché 2 secondes sur le sujet de la sécurité des accès ont en général une obligation de changer leur mot de passe d’accès à leur ordinateur (voire à tous les services connectés de l’entreprise quand ce mot de passe est synchronisé via une solution de single-sign-on) tous les 90 jours par exemple.

Les arguments avancés contre le changement forcé / automatisé par l’article sont :
– le nouveau mot de passe demandé par le système, qui doit être différent du précédent, a de fortes chances d’être déjà utilisé ailleurs par l’utilisateur
– ce nouveau mot de passe a de fortes chances d’être noté quelque part pour être retenu (puisque changeant), ce qui est une autre faiblesse
– les mots de passe changeant trop souvent sont plus facilement oubliés, et cela a un coût sur la productivité de l’entreprise (appel au service informatique…)

Alors changer son mot de passe de temps en temps, oui si on le retient, mais trop régulièrement / de manière forcée par le système ?
Amis lecteurs les plus geeks, vous en pensez quoi ?

(et pour ceux qui veulent aller plus loin, un PDF de CESG qui résume une bonne partie des problématiques « password », dans la langue de Shakespeare, my dear)

password-guidance



COMMENTAIRES RESEAUX SOCIAUX

Pour commenter cet article, vous pouvez soit utiliser le module réseaux sociaux ci-dessous (s'il ne s'affiche pas c'est que votre ordinateur bloque l'affichage de facebook sur les sites tiers), ou bien le module traditionnel du blog situé un peu plus bas.

4 Comments

  1. Galaad

    15 mai 2016 at 17:27

    Ça a pas l’air de passionner des masses de monde.

    Pourtant l’espionnage industriel et les contres-mesures doit au moins être aussi porteur que la sécurité perso dans les 10-15 ans à venir. On peut penser au social engineering, aux Red Team. (A quand les articles sur Protegor?)

    Pour ma part je ne sais pas si les failles sont si importantes sur les mots de passes. Finalement même dans le tiroir du bureau, ça demande de faire des recherches et aller sur le terrain pour savoir quel bureau est le plus « intéressant » et ouvrir le tiroir.

    Il doit y avoir plus de risque avec les accès à distance à ses bases de données et ERP.

    Par contre oui le milliers d’heures perdues à appeler des hotlines pour reset ses mdp. Ça doit être affolant.

  2. Humbert

    27 mai 2016 at 17:19

    D’un point de vue geek, le changement de mot de passe me semble une bonne idée. Si jamais le mot de passe a été cracké, le nouveau oblige le pirate à recommencer son boulot.
    D’un point de vue tenant compte du facteur humain, le changement de mot de passe… Deux problèmes: 1-mémoriser le nouveau 2-oublier l’ancien ou au moins me souvenir que ce n’est plus le bon.
    Le 2- joue pas mal. Je me souviens parfaitement de mon premier mot de passe email créé il y a plus de 15ans. Le problème, c’est que lorsque je dois taper mon mot de passe, c’est le premier créé qui remonte. Les plus récents remontent moins facilement… J’ai observé le phénomène chez d’autres personnes…

COMMENTAIRES BLOG

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *