Le National Institute of Standards and Technology (NIST), l’organisme fédéral qui fixe les normes technologiques pour les agences gouvernementales, les organisations de normalisation et les entreprises privées, a proposé d’interdire certaines des exigences en matière de mots de passe les plus vexantes et absurdes. Parmi celles-ci : les réinitialisations obligatoires, l’utilisation exigée ou restreinte de certains caractères et l’utilisation de questions de sécurité.
Choisir des mots de passe robustes et les stocker en toute sécurité est l’un des aspects les plus difficiles d’une bonne routine de cybersécurité. Cela devient encore plus compliqué avec les règles de mot de passe imposées par les employeurs, les agences fédérales et les fournisseurs de services en ligne. Souvent, ces règles—censées renforcer l’hygiène de la sécurité—la compromettent en réalité. Et pourtant, les rédacteurs de ces règles sans nom imposent ces exigences malgré tout.
Assez de folie, s’il vous plaît !
La semaine dernière, le NIST a publié SP 800-63-4, la dernière version de ses lignes directrices sur l’identité numérique. Avec environ 35 000 mots et rempli de jargon et de termes bureaucratiques, le document est presque impossible à lire dans son intégralité et tout aussi difficile à comprendre. Il définit à la fois les exigences techniques et les meilleures pratiques recommandées pour déterminer la validité des méthodes utilisées pour authentifier les identités numériques en ligne. Les organisations interagissant en ligne avec le gouvernement fédéral doivent être conformes.
Une section consacrée aux mots de passe injecte une dose de bon sens tant nécessaire qui remet en question les politiques conventionnelles. Par exemple : les nouvelles règles interdisent d’exiger que les utilisateurs finaux changent périodiquement leurs mots de passe. Cette exigence a été introduite il y a des décennies, lorsque la sécurité des mots de passe était mal comprise et qu’il était courant pour les gens de choisir des noms communs, des mots du dictionnaire et d’autres secrets facilement devinables.
Depuis, la plupart des services exigent l’utilisation de mots de passe plus forts composés de caractères ou de phrases générés aléatoirement. Lorsqu’ils sont choisis correctement, l’exigence de les changer périodiquement, généralement tous les un à trois mois, peut en réalité diminuer la sécurité, car ce fardeau supplémentaire incite à choisir des mots de passe plus faibles, plus faciles à définir et à retenir.
Une autre exigence qui fait souvent plus de mal que de bien est l’obligation d’utiliser certains caractères, comme au moins un chiffre, un caractère spécial et une lettre majuscule et minuscule. Lorsque les mots de passe sont suffisamment longs et aléatoires, il n’y a aucun avantage à exiger ou à restreindre l’utilisation de certains caractères. Encore une fois, les règles régissant la composition peuvent en fait conduire les gens à choisir des codes d’accès plus faibles.
Les dernières directives du NIST stipulent désormais :
- Les vérificateurs et les fournisseurs de services d’authentification ne doivent pas imposer d’autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe et
- Les vérificateurs et les fournisseurs de services d’authentification ne doivent pas exiger que les utilisateurs changent périodiquement leurs mots de passe. Cependant, les vérificateurs doivent imposer un changement s’il y a des preuves de compromission de l’authentificateur.
(« Vérificateurs » est le terme bureaucratique désignant l’entité qui vérifie l’identité d’un titulaire de compte en corroborant les identifiants d’authentification du titulaire. Abrégé en « CSPs », les « fournisseurs de services d’authentification » sont une entité de confiance qui attribue ou enregistre des authentificateurs au titulaire du compte.)
Dans les versions précédentes des lignes directrices, certaines règles utilisaient les mots « ne devraient pas », ce qui signifie que la pratique n’est pas recommandée comme meilleure pratique. « Ne doivent pas », en revanche, signifie que la pratique doit être interdite pour qu’une organisation soit conforme.
Le dernier document contient plusieurs autres pratiques de bon sens, notamment :
- Les vérificateurs et les fournisseurs de services d’authentification doivent exiger un minimum de huit caractères pour les mots de passe et devraient exiger qu’ils aient au moins 15 caractères.
- Les vérificateurs et les fournisseurs de services d’authentification devraient autoriser une longueur maximale de mot de passe d’au moins 64 caractères.
- Les vérificateurs et les fournisseurs de services d’authentification devraient accepter tous les caractères ASCII imprimables [RFC20] et le caractère espace dans les mots de passe.
- Les vérificateurs et les fournisseurs de services d’authentification devraient accepter des caractères Unicode [ISO/ISC 10646] dans les mots de passe. Chaque point de code Unicode doit être compté comme un seul caractère lors de l’évaluation de la longueur du mot de passe.
- Les vérificateurs et les fournisseurs de services d’authentification ne doivent pas imposer d’autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe.
- Les vérificateurs et les fournisseurs de services d’authentification ne doivent pas exiger que les utilisateurs changent périodiquement leurs mots de passe. Cependant, les vérificateurs doivent imposer un changement s’il y a des preuves de compromission de l’authentificateur.
- Les vérificateurs et les fournisseurs de services d’authentification ne doivent pas permettre aux abonnés de conserver un indice accessible à un demandeur non authentifié.
- Les vérificateurs et les fournisseurs de services d’authentification ne doivent pas inciter les abonnés à utiliser une authentification basée sur des connaissances (KBA) (par exemple, « Quel était le nom de votre premier animal de compagnie ? ») ou des questions de sécurité lors du choix des mots de passe.
- Les vérificateurs doivent vérifier l’intégralité du mot de passe soumis (c’est-à-dire ne pas le tronquer).
Des critiques dénoncent depuis des années la folie et les dommages résultant de nombreuses règles de mot de passe souvent appliquées. Pourtant, les banques, les services en ligne et les agences gouvernementales s’y accrochent largement. Les nouvelles directives, si elles devenaient définitives, ne seraient pas universellement contraignantes, mais elles pourraient fournir des arguments persuasifs en faveur de l’abandon de ces absurdités.
Le NIST invite les gens à soumettre leurs commentaires sur les lignes directrices à [email protected] avant 23h59, heure de l’Est, le 7 octobre.
En tant que journaliste pour LesNews, je suis convaincu que ces changements potentiels dans les politiques de mots de passe pourraient avoir un impact significatif sur la sécurité numérique. Il est essentiel que les normes évoluent pour refléter les meilleures pratiques et les réalités d’usage. Un mot de passe doit être non seulement sécurisé, mais également facilement mémorisable pour les utilisateurs.