Zwingende Passwortänderung alle 45 Tage: Ist das wirklich notwendig?

Faut bien que les équipes sécurité informatique justifient leurs postes.

Demander symboles + maj + chiffre…

https://xkcd.com/936/

Non, probablement pas. C’est possible que c’est une risque de sécurité, par-ce que il faut changer le mot de passe trop fréquemment et c’est possible d’oublier le nouveau mot.

Je vous conseil tous d’utiliser un gestionnaire de mot de passe (bitwarden, lastpass, 1password, keepass et tant d’autres).

1. C’est safe
2. Chaque nouveau compte c’est un nouveau de mot de passe. Si ce service est compromis, pas de dommage collatéraux (normalement)
3. Créer un mot de passe se résume à cliquer sur “généré un mdp” sur une extension navigateur et c’est plié.
4. Ca saisie automatiquement les mdp dans les formulaire de connexion, donc gain de temps dans la durée

Ca ne vient pas à la place du MFA, c’est EN PLUS du MFA.

J’avais lu un rex de sécurité / gestion des mots de passe il y a quelques années.

Plus la politique de changement des mdp est relou, plus tu as un risque que les gens les notent sur des post it, ce qui représente une énorme faille de sécurité.

Du coup, ils disaient que si l’on ne peut pas faire du multifacteurs, mieux vaut demander des mots de passe très longs, mais facile à retenir, et ne pas les changer (l’exemple c’était un truc du genre “LesPommesDeTerreAdorentDanserAvecDesKnackyAprès0h00”).

On va pas se mentir, les keylogger c’est devenu hyper rare en terme d’attaque. C’est avant tout de la faille située entre le clavier (édit : la chaise) et l’écran…

Non. Même Microsoft a cessé de recommander cette pratique qui n’apporte plus rien avec les 2FA. De toutes façons les gens finissent par adopter des stratégies du type monmotdepasse&1 (puis 2 et ainsi de suite) ou bien par stocker leur mots de passe de manière plus ou moins propre.

Leur modèle de menace remonte à 1992 quand les ordinateurs étaient partagés et les mots de passes stockés sur des post-its.

Non nivellement par le bas tout ça merci les
Boomers

Non, [https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/](https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/)

>The latest NIST guidelines now state that: […]

>Verifiers and CSPs SHALL NOT require users to change passwords periodically. However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

La sécurité, c’est très souvent du théâtre.

Rien à voir avec ta question mais je me sens obligé de mettre un lien vers [the password game](https://neal.fun/password-game/) au vu de ta capture d’écran

comme pour toute mesure de sécurité, ça dépends du modèle de menace auquel ça réponds.

parfois c’est utile et nécéssaire, souvent c’est une mesure inappropriée qui a des effets de bord indésirables qui empirent la sécurité au lieu de l’améliorer.

Les draft du NIST, l’organisation qui fait les standard de sécurité pour le système informatique, à récemment [retiré la recommandation de reset les mots de passe tout les 60 jours](https://www.darkreading.com/identity-access-management-security/nist-drops-password-complexity-mandatory-reset-rules).

Du coup non, c’est idiot, mais en attendant que tout les sites se maj, je recommande d’utiliser un gestionnaire de password pour recréer rapidement un nouveau mot de passe correct et le stocker pour toi dans un coin.

Depuis quelques années, on finit par en revenir de cette idée de changer de mot de passe régulièrement, parce qu’on s’est rendu compte que c’était plus contre-productif qu’autre chose.
Il y a quelques années, l’ANSSI a publié (entre-autres) son guide de bonnes pratiques concernant les facteurs d’authentification que l’on peut trouver à cette adresse :
[https://cyber.gouv.fr/publications/recommandations-relatives-lauthentification-multifacteur-et-aux-mots-de-passe](https://cyber.gouv.fr/publications/recommandations-relatives-lauthentification-multifacteur-et-aux-mots-de-passe)
A la page 30 on y trouve la recommandation suivante (R24) :
“Ne pas imposer par défaut de délai d’expiration sur les mots de passe des comptes non sensibles”

La personne à l’origine d’une partie des recommandations relatives au changement régulier de mots de passe s’est exprimée il y a quelques années et regretterait celle-ci :
[https://www.developpez.com/actu/153757/L-ingenieur-du-NIST-qui-a-recommande-l-adoption-des-MdP-difficiles-a-retenir-regrette-ce-conseil-le-NIST-preconise-les-MdP-longs-et-faciles-a-retenir/](https://www.developpez.com/actu/153757/L-ingenieur-du-NIST-qui-a-recommande-l-adoption-des-MdP-difficiles-a-retenir-regrette-ce-conseil-le-NIST-preconise-les-MdP-longs-et-faciles-a-retenir/)

Dans la pratique, l’essentiel des sites utilisés par le grand public mettent en place des mécanismes anti attaques exhaustives : après quelques essais infructueux, la personne est invitée à remplir un captcha ou attendre un peu avant de reessayer. Sans dire que c’est ultra sécurisé, ça limite l’essentiel des compromissions.

D’ailleurs les pirates misent plutôt sur le rejeu de mots de passe ayant déjà fuité (i.e. récupérer les mots de passe des comptes d’un site de e-commerce ayant fuité, sur un autre site de e-commerce, vu que beaucoup de gens réutilisent les mêmes mots de passe partout). Dans une moindre mesure, tenter un seul mot de passe commun sur de nombreux utilisateurs fonctionne aussi (vous seriez étonnés de la proportion de gens utilisant un schéma genre Mois+Année avec éventuellement un caractère spécial, du type Septembre2024!, qui remplit la quasi totalité des règles de complexité communément rencontrées en entreprise). Après tout, dans l’essentiel des cas, les pirates n’en veulent pas à une personne en particulier, mais veulent grapiller un maximum d’accès.

Bref, pour en revenir au problème initial, changer de mot de passe régulièrement ne fait plus vraiment sens en 2024 sur un compte standard si le mot de passe utilisé est correct. Surtout si c’est complété par du MFA, sans être infaillible, ça suffit largement contre les pirates lambda.