Calipia : le blog

Le National Institute of Standards and Technology (NIST), l’organisme fédéral US chargé de définir les normes technologiques pour les agences gouvernementales, les organisations de normalisation et les entreprises privées, propose de réformer plusieurs pratiques obsolètes en matière de sécurité des mots de passe. Parmi ces réformes, l’institut recommande d’éliminer certaines exigences souvent jugées inutiles, voire contre-productives : les réinitialisations périodiques obligatoires, l’utilisation forcée ou restreinte de certains caractères, ainsi que l’emploi des questions de sécurité.

En attendant la généralisation des passkeys, créer et gérer des mots de passe forts est l’un des aspects les plus complexes de la cybersécurité. Pour de nombreux utilisateurs, les règles imposées par les employeurs ou les services en ligne sont non seulement difficiles à suivre, mais elles ont aussi un impact négatif sur la sécurité globale. Ces règles, censées renforcer la protection, tendent souvent à l’affaiblir en réalité.

Par exemple, l’une des règles les plus contestées est celle des réinitialisations périodiques obligatoires des mots de passe, qui pousse les utilisateurs à créer des mots de passe plus simples et plus faciles à mémoriser, affaiblissant ainsi leur sécurité. En dépit de ces effets négatifs, ces pratiques perdurent.

La réforme proposée par le NIST

Le NIST a récemment publié la seconde ébauche publique de ses directives sur l’identité numérique, intitulée SP 800-63-4. Ce document de plus de 35 000 mots contient des recommandations techniques et des pratiques exemplaires pour authentifier les identités numériques. Bien que très technique et difficile à lire, il impose aux organismes en interaction avec le gouvernement fédéral de se conformer à ces normes.

Les nouvelles directives du NIST recommandent d’abandonner l’exigence de changer régulièrement les mots de passe, une règle instaurée à une époque où la sécurité des mots de passe était mal comprise. À l’époque, les utilisateurs choisissaient des mots de passe basiques et faciles à deviner. Aujourd’hui, avec l’usage de mots de passe complexes et aléatoires, cette pratique n’apporte plus de bénéfices et, au contraire, encourage des mots de passe plus faibles.

Autre règle réformée : l’obligation d’utiliser des caractères spécifiques (chiffres, majuscules, caractères spéciaux). Le NIST souligne que lorsque les mots de passe sont suffisamment longs et aléatoires, l’imposition de tels critères devient inutile et peut même compromettre la sécurité.

Les nouvelles recommandations insistent sur le fait que les entités chargées de la vérification des mots de passe (appelées “vérificateurs” ou CSP, pour Credential Service Providers) ne doivent plus imposer de règles concernant la composition des mots de passe, ni forcer les utilisateurs à changer leur mot de passe régulièrement, sauf en cas de compromission avérée.

Autres Recommandations Clés

Les directives du NIST introduisent plusieurs autres recommandations sensées, parmi lesquelles :

• Longueur minimale des mots de passe : Les vérificateurs doivent exiger une longueur minimale de 8 caractères, et devraient en exiger 15.
• Longueur maximale des mots de passe : Les vérificateurs devraient accepter des mots de passe allant jusqu’à 64 caractères.
• Acceptation des caractères ASCII et Unicode : Les vérificateurs devraient accepter tous les caractères ASCII imprimables et Unicode dans les mots de passe.
• Absence de règles de composition : Les vérificateurs ne doivent pas imposer de mélange obligatoire de différents types de caractères.
• Fin des questions de sécurité : Les vérificateurs ne doivent pas inciter à l’utilisation de questions basées sur des connaissances personnelles (par exemple, “Quel est le nom de votre premier animal de compagnie ?”).
• Validation intégrale des mots de passe : Les vérificateurs doivent vérifier la totalité du mot de passe soumis, sans le tronquer.