Le National Institute of Standards and Technology (NIST), l’organisme fédéral qui établit les normes technologiques pour les agences gouvernementales, les organisations de normalisation et les entreprises privées, a proposé de mettre fin à certaines des exigences en matière de mots de passe les plus vexatoires et illogiques. Parmi celles-ci : les réinitialisations obligatoires, l’utilisation requise ou restreinte de certains caractères, ainsi que l’utilisation de questions de sécurité.
Choisir des mots de passe forts et les stocker en toute sécurité est l’un des aspects les plus difficiles d’un bon régime de cybersécurité. La tâche est d’autant plus ardue lorsqu’il s’agit de se conformer aux règles de mot de passe imposées par les employeurs, les agences fédérales et les fournisseurs de services en ligne. Souvent, ces règles — prétendument pour améliorer l’hygiène de la sécurité — finissent par l’entraver. Et pourtant, les décideurs anonymes imposent ces exigences malgré tout.
Arrêtons cette folie, s’il vous plaît !
La semaine dernière, le NIST a publié son deuxième projet public de SP 800-63-4, la dernière version de ses Directives sur l’identité numérique. Avec environ 35 000 mots, rempli de jargon et de termes bureaucratiques, ce document est presque impossible à lire dans son intégralité et tout aussi difficile à comprendre complètement. Il définit à la fois les exigences techniques et les meilleures pratiques recommandées pour déterminer la validité des méthodes utilisées pour authentifier les identités numériques en ligne. Les organisations qui interagissent en ligne avec le gouvernement fédéral sont tenues de se conformer.
Une section consacrée aux mots de passe introduit une grande dose de bon sens en matière de pratiques souvent mal comprises. Par exemple : les nouvelles règles interdisent l’exigence qui impose aux utilisateurs de changer périodiquement leurs mots de passe. Cette exigence est apparue il y a des décennies, à une époque où la sécurité des mots de passe était mal comprise, et il était courant pour les gens de choisir des noms fréquents, des mots du dictionnaire et d’autres secrets facilement devinables.
Depuis, la plupart des services exigent l’utilisation de mots de passe plus forts composés de caractères ou de phrases générés aléatoirement. Lorsque les mots de passe sont choisis correctement, l’obligation de les changer périodiquement, généralement tous les un à trois mois, peut en réalité diminuer la sécurité, car ce fardeau supplémentaire pousse souvent à choisir des mots de passe plus faibles, plus faciles à mémoriser.
Une autre exigence qui cause souvent plus de mal que de bien est l’obligation d’utiliser certains caractères, comme au moins un chiffre, un caractère spécial, et une lettre majuscule et une lettre minuscule. Lorsque les mots de passe sont suffisamment longs et aléatoires, il n’y a aucun avantage à exiger ou à restreindre l’utilisation de certains caractères. Encore une fois, les règles concernant la composition peuvent amener les gens à choisir des codes d’accès plus faibles.
En tant que journaliste, je suis convaincu que ces recommandations du NIST pourraient améliorer la sécurité des utilisateurs. Il est essentiel d’adapter les règles de sécurité pour refléter la réalité actuelle des mots de passe, afin que chacun puisse naviguer en ligne en toute confiance sans être submergé par des exigences inutiles. Ces changements pourraient simplifier la cybersécurité tout en fournissant une meilleure protection.