Le National Institute of Standards and Technology (NIST) a mis à jour ses lignes directrices sur les mots de passe conformément à de nouvelles recherches. Le gouvernement des États-Unis exige que ses agences suivent ces directives, et de nombreuses autres organisations tireraient également avantage de la mise en œuvre de ces règles.
Ces pratiques représentent une norme raisonnable et vous aideront à protéger les informations confidentielles et à les protéger contre les violations.1
Le NIST est une agence fédérale qui fait la promotion des États-Unis. innovation et industrie en faisant progresser l’infrastructure de la technologie et de la sécurité de l’information du pays.2 Suivre ces directives mises à jour peut vous aider à améliorer vos pratiques de sécurité par mot de passe et à accroître l’efficacité du personnel. Ensuite, nous vous expliquerons les pratiques recommandées dans les nouvelles directives et comment les respecter.
Augmenter la longueur du mot de passe
La longueur est un élément essentiel des mots de passe forts. Les mots de passe plus longs sont statistiquement moins susceptibles d’être piratés. Pour cette raison, le NIST nécessite désormais une longueur minimale de huit caractères pour les mots de passe générés par l’utilisateur et de six caractères pour ceux générés par une machine. Pour assurer une plus grande sécurité pour les comptes plus sensibles, le NIST indique que vous devez définir la longueur maximale du mot de passe à 64 caractères.3
Autoriser les caractères et espaces spéciaux
Une autre façon d’augmenter les niveaux de sécurité consiste à autoriser l’utilisation de caractères spéciaux dans les mots de passe. Le NIST exige désormais que les systèmes autorisent les mots de passe contenant des caractères spéciaux, même des emojis et des espaces. Les nouvelles lignes directrices interdisent le séquentiel (ex: 1234) ou en répétant (ex: aaaa) des caractères et des mots du dictionnaire.3
Permettre aux utilisateurs de coller du texte
Les lignes directrices encouragent l’utilisation de systèmes automatisés pour plus de sécurité. Les champs de mot de passe doivent désormais permettre aux utilisateurs de coller du texte à l’aide de la fonction copier-coller d’un appareil. Cela permet aux utilisateurs d’utiliser des gestionnaires de mots de passe, ce qui peut considérablement augmenter la sécurité.
Les mots de passe stockés doivent également être hachés et salés (mesures de sécurité similaires au cryptage). Ce sont des mesures de sécurité qui aident à protéger les mots de passe stockés. S’il est mis en œuvre, les pirates ne pourront pas lire vos données de mot de passe même s’ils parviennent à les voler.3
Conseils de mot de passe hors la loi
Les conseils de mot de passe sont un exemple de mesure de sécurité supplémentaire qui peut réellement compromettre la sécurité du mot de passe. Il n’est que trop courant pour les utilisateurs de définir des astuces qui facilitent la détermination du mot de passe. Cela va à l’encontre de l’objectif d’avoir un mot de passe en premier lieu.
Pour éviter cela, le NIST a complètement interdit l’utilisation d’indices de mot de passe. Questions d’authentification basée sur les connaissances (KBA) comme » Dans quelle rue avez-vous grandi? » ne sont également plus autorisés. Les réponses à ces questions sont trop faciles à trouver sur Internet et peuvent facilement conduire à une violation.3
Supprimer les exigences de changement périodique de mot de passe
Des études récentes ont montré que les politiques de l’entreprise qui exigent des changements fréquents de mot de passe sont contre-productives pour une bonne sécurité des mots de passe. Le NIST recommande de supprimer cette exigence, ce qui devrait augmenter la convivialité et rendre la sécurité des mots de passe plus conviviale.
De nombreuses industries ont mis en place une norme de changement de mot de passe fréquente depuis des années, il peut donc s’écouler un certain temps avant que cette nouvelle norme ne soit couramment observée. Mais pour ceux qui ont trouvé la norme précédente inutile, cela peut être un changement bienvenu.1
Réduire la complexité
Le NIST recommande de minimiser les exigences de complexité des mots de passe, comme l’inclusion nécessaire de lettres majuscules, de symboles et de chiffres. Comme pour les stratégies de changement de mot de passe fréquentes, ces exigences peuvent entraîner des mots de passe qui diminuent la convivialité et entravent l’efficacité des employés. La réduction de la complexité des mots de passe peut être une autre étape importante sur la voie de meilleures pratiques de sécurité que les employés trouvent plus faciles à gérer.1
Comparer les nouveaux mots de passe aux mots de passe couramment utilisés ou compromis
Une pratique de sécurité courante consiste à comparer les mots de passe de vos utilisateurs à des listes de mots de passe couramment utilisés et de mots de passe compromis connus. Le NIST vous recommande d’utiliser un logiciel qui peut vérifier les mots de passe proposés par rapport aux mots de passe précédemment détenus ou exposés. Cela protégera contre la pratique de piratage consistant à essayer des mots de passe connus dans de nouveaux paramètres.1
- Nouvelles directives de mot de passe du gouvernement fédéral américain via NIST
- Publication spéciale du NIST 800-63B
- Les Nouvelles Directives du NIST
Le partage, c’est l’entraide!