Ne pas changer ses mots de passe régulièrement ?

commentaire(s)

Le sujet des mots de passe est au cœur des problématiques de sécurité informatique, que ce soit sur votre ordinateur personnel ou bien sur internet. Quelle taille, quelle variété de types de caractères pour le composer, motifs de mots de passe ou mots de passe aléatoires (a priori les plus efficaces, mais impossibles à retenir), comment stocker ses mots de passe, les solutions pour ne plus avoir de mots de passe… autant de questions qui reviendront encore pendant des années et feront couler de l’encre, car avec l’évolution des technologies, les bonnes pratiques changent.

Aujourd’hui, Bruno, le veilleur IT de Protegor, m’a dégoté un article qui remet en cause la règle du changement forcé de mot de passe. Cela m’a assez surpris et je voulais partager.

Ceux qui travaillent dans une entreprise qui dispose d’un service informatique qui s’est penché 2 secondes sur le sujet de la sécurité des accès ont en général une obligation de changer leur mot de passe d’accès à leur ordinateur (voire à tous les services connectés de l’entreprise quand ce mot de passe est synchronisé via une solution de single-sign-on) tous les 90 jours par exemple.

Les arguments avancés contre le changement forcé / automatisé par l’article sont :
– le nouveau mot de passe demandé par le système, qui doit être différent du précédent, a de fortes chances d’être déjà utilisé ailleurs par l’utilisateur
– ce nouveau mot de passe a de fortes chances d’être noté quelque part pour être retenu (puisque changeant), ce qui est une autre faiblesse
– les mots de passe changeant trop souvent sont plus facilement oubliés, et cela a un coût sur la productivité de l’entreprise (appel au service informatique…)

Alors changer son mot de passe de temps en temps, oui si on le retient, mais trop régulièrement / de manière forcée par le système ?
Amis lecteurs les plus geeks, vous en pensez quoi ?

(et pour ceux qui veulent aller plus loin, un PDF de CESG qui résume une bonne partie des problématiques « password », dans la langue de Shakespeare, my dear)

password-guidance

6 Comments

  1. Galaad

    15 mai 2016 at 17:27

    Ça a pas l’air de passionner des masses de monde.

    Pourtant l’espionnage industriel et les contres-mesures doit au moins être aussi porteur que la sécurité perso dans les 10-15 ans à venir. On peut penser au social engineering, aux Red Team. (A quand les articles sur Protegor?)

    Pour ma part je ne sais pas si les failles sont si importantes sur les mots de passes. Finalement même dans le tiroir du bureau, ça demande de faire des recherches et aller sur le terrain pour savoir quel bureau est le plus « intéressant » et ouvrir le tiroir.

    Il doit y avoir plus de risque avec les accès à distance à ses bases de données et ERP.

    Par contre oui le milliers d’heures perdues à appeler des hotlines pour reset ses mdp. Ça doit être affolant.

  2. Humbert

    27 mai 2016 at 17:19

    D’un point de vue geek, le changement de mot de passe me semble une bonne idée. Si jamais le mot de passe a été cracké, le nouveau oblige le pirate à recommencer son boulot.
    D’un point de vue tenant compte du facteur humain, le changement de mot de passe… Deux problèmes: 1-mémoriser le nouveau 2-oublier l’ancien ou au moins me souvenir que ce n’est plus le bon.
    Le 2- joue pas mal. Je me souviens parfaitement de mon premier mot de passe email créé il y a plus de 15ans. Le problème, c’est que lorsque je dois taper mon mot de passe, c’est le premier créé qui remonte. Les plus récents remontent moins facilement… J’ai observé le phénomène chez d’autres personnes…

  3. Fabien Da Rosa

    7 janvier 2018 at 15:57

    Bonjour,
    Je pense que le fait de changer régulièrement de méthode pour conserver un mot de passe difficile à retenir en mémoire est une bonne stratégie.
    A une époque je cryptais mes mots de passe pour les conserver écrits dans un carnet, un agenda, un livre, etc…

    Retenir la méthode est toujours plus facile que de retenir le mot de passe lui-même.
    Le principe de base selon moi est de ne conserver qu’une partie du mot de passe écrit au même endroit. Ainsi même en cas de découverte par quelqu’un d’autre, le mot de passe est incomplet.

    En ce moment, j’utilise la technologie NFC. Je colle un tag nfc quelque part dans mon edc. Ensuite j’y écris une partie de mon mot de passe à N caractères grâce à un programme ou une application.
    J’en gardes bien sûr quelques caractères en tête au cas où. Je peux aussi additionner deux mots de passes. Un dans mon tag nfc et un autre dans un livre que j’ai sur moi, un mot clé, ou autre. On peut mélanger les méthodes.

    A chaque fois que je veux l’utiliser, pour ouvrir une clé USB cryptée par exemple, je le scanne, je le copie/colle dans la fenêtre pour le mot de passe et je rajoute les caractères manquants. Et le tour est joué !

    Je peux changer de place mon tag nfc.
    Je peux en garder une copie dans un lieu sûr (pour le cas où je perdrais le premier ou en cas de vol).
    Il est très facile de générer une foule mot de passe compliqué sans avoir à les retenir en entier. Changer de mot de passe prend peu de temps, suffit de faire des copier / coller de temps en temps. En étant bien organisé ça se passe super bien.

    Même si quelqu’un de très malin arrive à lire le contenu de mon tag. Il faudra encore qu’il trouve les caractères que j’ai dans ma tête, ou dans mon livre… ou dans mon carnet… ;D

    Voilà pour la méthode du moment… mais ça peut changer ! 😉
    J’espère avoir aidé un peu…
    Fabien

Laisser un commentaire