Le NIST propose d'interdire certaines des règles les plus contrariantes et les plus absurdes en matière de mot de passe,

Comme l'utilisation obligatoire de certains caractères ou de questions de sécurité

Le NIST propose de nouvelles lignes directrices qui visent à insuffler le bon sens nécessaire à l'hygiène des mots de passe. L'agence interdit certaines des règles de mot de passe les plus contrariantes et les plus absurdes. Parmi ces règles, les plus importantes sont la réinitialisation obligatoire, l'utilisation obligatoire ou restreinte de certains caractères spéciaux et l'utilisation de questions de sécurité. Ces recommandations visent à simplifier les meilleures pratiques de gestion des mots de passe et éliminer celles qui ne favorisent pas une plus grande sécurité. Trouver un mot de passe robuste reste un défi important et un exercice stressant pour de nombreux utilisateurs.

À l'ère du tout numérique, les internautes se connectent régulièrement à des services en ligne omniprésents dans leur vie quotidienne à l'aide d'un identifiant et d'un mot de passe. Choisir des mots de passe forts et les conserver en toute sécurité est l'une des parties les plus difficiles d'un bon régime de cybersécurité. Il est encore plus difficile de se conformer aux règles relatives aux mots de passe imposées par les employeurs, les autorités de réglementation et les fournisseurs de services en ligne. Et dans certains cas, ces règles, censées renforcer l'hygiène de la sécurité, finissent en réalité par la compromettre.


Le NIST a publié ce mois-ci la deuxième version de son projet public SP 800-63-4 sur l'identité numérique. Une section consacrée aux mots de passe injecte une grande quantité de pratiques de bon sens qui ne sont pas nécessaires et qui remettent en question les politiques courantes. En d'autres termes, le nouveau document décrit les exigences techniques ainsi que les meilleures pratiques recommandées pour la gestion des mots de passe et l'authentification.

Les dernières lignes directrices demandent aux fournisseurs de services d'authentification (CSP) de ne plus exiger des utilisateurs qu'ils définissent des mots de passe utilisant des types ou des caractères spécifiques ou qu'ils changent périodiquement de mot de passe (généralement tous les 60 ou 90 jours). Le NIST interdit également de ne plus utiliser l'authentification basée sur les connaissances ou les questions de sécurité lors de la sélection des mots de passe.

Utilisation obligatoire de caractères spéciaux

Une autre exigence qui fait souvent plus de mal que de bien est l'utilisation obligatoire de certains caractères, tels qu'au moins un chiffre, un caractère spécial et une lettre majuscule et minuscule. Lorsque les mots de passe sont suffisamment longs et aléatoires, il n'y a aucun avantage à exiger ou à restreindre l'utilisation de certains caractères. Par ailleurs, les règles régissant la composition peuvent inciter les gens à choisir des codes de passe plus faibles.

Changement périodique de mot de passe

Le changement périodique de mot de passe est une exigence qui a vu le jour il y a plusieurs décennies, lorsque la sécurité des mots de passe était mal comprise et qu'il était courant de choisir des noms communs, des mots du dictionnaire et d'autres secrets faciles à deviner. Depuis, la plupart des fournisseurs de services en ligne exigent l'utilisation de mots de passe plus forts, composés de caractères ou de phrases générés de manière aléatoire.

Mais lorsque les mots de passe sont choisis correctement, l'obligation de les modifier périodiquement, généralement tous les mois ou tous les trois mois, peut en fait diminuer la sécurité, car la charge supplémentaire incite à choisir des mots de passe plus faibles, plus faciles à définir et à mémoriser. Les dernières lignes directrices stipulent désormais que :

• les vérificateurs et les CSP ne doivent pas imposer d'autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe et les codes d'accès ;
• les vérificateurs et les CSP ne doivent pas exiger des utilisateurs qu'ils changent périodiquement de mot de passe. Toutefois, les vérificateurs doivent imposer un changement s'il existe des preuves de la compromission de l'authentificateur.

« Vérificateur » est un terme utilisé pour désigner l'entité qui vérifie l'identité d'un titulaire de compte en corroborant les références d'authentification du titulaire. Les CSP (credential service providers) sont des entités de confiance qui attribuent ou enregistrent des authentificateurs au titulaire du compte).

Les autres recommandations formulées par le NIST

Lorsque le NIST a présenté pour la première fois ses recommandations en matière de mots de passe (NIST 800-63B) en 2017, il a recommandé la complexité : des mots de passe comprenant un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Cependant, les mots de passe complexes ne sont pas toujours forts (par exemple, « Password123 ! » ou « q1@We3$Rt5 »). En outre, la complexité signifiait que les utilisateurs rendaient leurs mots de passe prévisibles et faciles à deviner, qu'ils les écrivaient dans des endroits faciles à trouver ou qu'ils les réutilisaient pour plusieurs comptes.

Ces dernières années, le NIST a mis l'accent sur la longueur des mots de passe, car les mots de passe plus longs sont plus difficiles à décrypter par des attaques par force brute et peuvent être plus faciles à mémoriser pour les utilisateurs sans être prévisibles.

Dans les versions précédentes des lignes directrices, certaines des règles proposées par le NIST utilisaient les termes « ne devrait pas », ce qui signifie que la pratique n'est pas recommandée en tant que meilleure pratique. La mention « ne doit pas », en revanche, signifie que la pratique doit être interdite pour qu'une organisation soit en conformité. Le dernier document contient plusieurs autres pratiques de bon sens, notamment :

• les vérificateurs et les CSP doivent exiger que les mots de passe comportent au moins huit caractères et devraient exiger que les mots de passe comportent au moins 15 caractères.
• les vérificateurs et les CSP devraient autoriser un mot de passe d'une longueur maximale d'au moins 64 caractères ;
• les vérificateurs et les CSP devraient accepter tous les caractères d'imprimerie ASCII [RFC20] et le caractère espace dans les mots de passe ;
• les vérificateurs et les CSP devraient accepter les caractères Unicode [ISO/ISC 10646] dans les mots de passe. Chaque point de code Unicode doit être considéré comme un seul caractère lors de l'évaluation de la longueur du mot de passe ;
• les vérificateurs et les CSP ne doivent pas imposer d'autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe ;
• les vérificateurs et les CSP ne doivent pas exiger des utilisateurs qu'ils changent périodiquement de mot de passe. Toutefois, les vérificateurs doivent imposer un changement s'il existe des preuves de compromission de l'authentificateur ;
• les vérificateurs et les CSP ne doivent pas autoriser l'abonné à stocker un indice accessible à un demandeur non authentifié ;
• les vérificateurs et les CSP ne doivent pas inviter les abonnés à utiliser l'authentification basée sur la connaissance (KBA) (par exemple, « Quel était le nom de votre premier animal de compagnie ? ») ou des questions de sécurité lors du choix des mots de passe ;
• les vérificateurs doivent vérifier l'intégralité du mot de passe soumis (c'est-à-dire ne pas le tronquer).

Depuis des années, les critiques dénoncent la folie et les préjudices causés par de nombreuses règles relatives aux mots de passe couramment appliquées. Pourtant, les banques, les services en ligne et les agences gouvernementales se sont largement accrochés à ces règles. Les nouvelles lignes directrices ne sont pas universellement contraignantes, mais elles pourraient...