De nombreux systèmes informatiques ont pour règle obligatoire de changer périodiquement les mots de passe. C’est peut-être l’exigence la plus détestée et la plus inutile des systèmes de sécurité. Certains utilisateurs changent simplement le numéro à la fin comme un hack de vie.

Cette pratique a causé beaucoup de désagréments. Cependant, les gens ont dû endurer, parce que pour des raisons de sécurité. Or, ce conseil n’a absolument aucune pertinence. En mai 2019, même Microsoft a finalement supprimé l'exigence de changement périodique de mot de passe du niveau de sécurité de base pour les versions personnelles et serveur de Windows 10 : ici déclaration officielle du blog avec une liste des modifications apportées à la version Windows 10 v 1903 (notez la phrase Suppression des politiques d'expiration des mots de passe qui nécessitent des changements de mot de passe périodiques). Les règles elles-mêmes et les politiques du système Base de référence de sécurité Windows 10 version 1903 et Windows Server 2019 inclus dans le kit Boîte à outils de conformité de sécurité Microsoft 1.0.

Vous pouvez montrer ces documents à vos supérieurs et dire : les temps ont changé. Les changements obligatoires de mot de passe sont archaïques, désormais presque officiels. Même un audit de sécurité ne vérifiera plus cette exigence (si elle est basée sur les règles officielles de protection de base des ordinateurs Windows).


Un fragment d'une liste avec les politiques de sécurité de base pour Windows 10 v1809 et les modifications apportées en 1903, où les politiques d'expiration des mots de passe correspondantes ne s'appliquent plus. À propos, dans la nouvelle version, les comptes administrateur et invité sont également annulés par défaut.

Microsoft explique dans un article de blog pourquoi il a abandonné la règle de changement obligatoire de mot de passe : « L'expiration périodique du mot de passe protège uniquement contre la possibilité que le mot de passe (ou le hachage) soit volé au cours de sa durée de vie et utilisé par une personne non autorisée. Si le mot de passe n'est pas volé, cela ne sert à rien de le changer. Et si vous avez la preuve qu'un mot de passe a été volé, vous préférerez évidemment agir immédiatement plutôt que d'attendre son expiration pour résoudre le problème. »

Microsoft poursuit en expliquant que dans l'environnement actuel, il n'est pas approprié de se protéger contre le vol de mot de passe en utilisant cette méthode : « Si l'on sait qu'un mot de passe est susceptible d'être volé, combien de jours constitue une période de temps acceptable pour permettre à un voleur de le faire. utiliser ce mot de passe volé ? La valeur par défaut est de 42 jours. Cela ne vous semble-t-il pas ridiculement long ? En effet, c'est une période très longue, et pourtant notre référence actuelle a été fixée à 60 jours - et auparavant à 90 jours - car forcer des expirations fréquentes introduit ses propres problèmes. Et si le mot de passe n’est pas nécessairement volé, vous rencontrez ces problèmes sans aucun bénéfice. De plus, si vos utilisateurs sont prêts à échanger un mot de passe contre des bonbons, aucune politique d’expiration des mots de passe ne sera utile.

Alternative

Microsoft écrit que ses politiques de sécurité de base sont destinées à être utilisées par des entreprises bien gérées et soucieuses de la sécurité. Ils visent également à fournir des indications aux auditeurs. Si une telle organisation a mis en œuvre des listes de mots de passe interdits, une authentification multifacteur, une détection des attaques par force brute par mot de passe et une détection des tentatives de connexion anormales, l'expiration périodique du mot de passe est-elle requise ? Et s’ils n’ont pas mis en œuvre de mesures de sécurité modernes, l’expiration des mots de passe les aidera-t-elle ?

La logique de Microsoft est étonnamment convaincante. Nous avons deux options :

1. L'entreprise a mis en place des mesures de sécurité modernes.
2. société aucun a introduit des mesures de sécurité modernes.

Dans le premier cas, changer périodiquement le mot de passe n'apporte pas d'avantages supplémentaires.

Dans le second cas, changer périodiquement le mot de passe est inutile.

Ainsi, au lieu de la date d'expiration du mot de passe, vous devez tout d'abord utiliser authentification multifacteur. Des mesures de sécurité supplémentaires sont répertoriées ci-dessus : listes de mots de passe interdits, détection de force brute et autres tentatives de connexion anormales.

«L'expiration périodique des mots de passe est une mesure de sécurité ancienne et obsolète", conclut Microsoft, " et nous ne pensons pas qu'il existe une valeur spécifique qui mérite d'être appliquée à notre niveau de protection de base. En le supprimant de notre base de référence, les organisations peuvent choisir ce qui correspond le mieux à leurs besoins perçus sans entrer en conflit avec nos recommandations.

conclusion

Si une entreprise oblige aujourd’hui ses utilisateurs à changer périodiquement leurs mots de passe, que pourrait penser un observateur extérieur ?

1. donné: l'entreprise utilise un mécanisme de défense archaïque.
2. Hypothèse: l'entreprise n'a pas mis en place de mécanismes de protection modernes.
3. Conclusion: ces mots de passe sont plus faciles à obtenir et à utiliser.

Il s’avère que la modification périodique des mots de passe fait d’une entreprise une cible plus attrayante pour les attaques.

Source: habr.com