Les humains sont terribles dès lors que l’on aborde le thème des mots de passe. Vous pensez peut-être qu’elles sont rares, mais de récentes enquêtes montrent que beaucoup de mots de passe sont aussi utiles que de ne pas en avoir du tout. Certains systèmes, dans le but d’accroître la sécurité, obligent les utilisateurs à modifier leurs mots de passe tous les 30 ou 60 jours.
Cependant, Microsoft supprime cette stratégie d’expiration de mots de passe dans la prochaine mise à jour majeure de Windows 10, car des études montrent désormais que les stratégies d’expiration des mots de passe ne contribuent en aucun cas à améliorer la sécurité.
Microsoft précise pourquoi une telle politique est vraiment inutile. Si vous obligez les utilisateurs à créer un mot de passe fort et long, ils risquent de le noter quelque part. Si vous les obligez à changer ce mot de passe à intervalles réguliers, ils ne feront probablement qu’un changement mineur et prévisible. Le plus souvent, ils vont même oublier ce qu’ils ont changé.
Les stratégies d’expiration du mot de passe ont été mises en œuvre pour remédier aux situations dans lesquelles un hacker aurait volé un mot de passe. Mais si tel était le cas, pourquoi attendriez-vous que le mot de passe expire avant de le changer ? Et si ce dernier n’a pas été compromis, pourquoi le changer inutilement et ironiquement le rendre encore plus susceptible d’être piraté ?
Politiques d’expiration de mot de passe
Étant donné ces facteurs, Microsoft a décidé d’abandonner la stratégie obsolète et inefficace qui offre peu de valeur ajoutée pour améliorer la sécurité. Cette modification entrera en vigueur dans Windows 10 et Windows Server version 1903.
Pour être clair, Microsoft ne délaisse pas ses autres stratégies de mot de passe, juste celle-ci. Il faudra continuer à exiger que les mots de passe aient une longueur minimale et une certaine complexité, généralement une combinaison de lettres, de chiffres et de symboles. Une fois ces stratégies supprimées, les entreprises doivent les remplacer par des pratiques modernes et améliorées en matière de sécurité des mots de passe, telles que l’authentification multi-facteurs, la détection d’attaques visant à deviner les mots de passe, la détection de tentatives de connexion anormales et l’application de listes de mots de passe interdits.
