Stratégie de mot de passe

Les composants typiques d’une stratégie de mot de passe comprennent :

Longueur et formation du mot de passemodiFier

Voir aussi : Force du mot de passe

De nombreuses stratégies nécessitent une longueur de mot de passe minimale. Huit caractères sont typiques mais peuvent ne pas être appropriés. Les mots de passe plus longs sont généralement plus sécurisés, mais certains systèmes imposent une longueur maximale pour la compatibilité avec les systèmes existants.

Certaines stratégies suggèrent ou imposent des exigences sur le type de mot de passe qu’un utilisateur peut choisir, telles que:

  • l’utilisation de lettres majuscules et minuscules (sensibilité à la casse)
  • inclusion d’un ou plusieurs chiffres numériques
  • inclusion de caractères spéciaux, tels que @, #, $
  • interdiction des mots trouvés dans une liste de blocage de mots de passe
  • interdiction des mots trouvés dans les informations personnelles de l’utilisateur
  • interdiction d’utiliser le nom de l’entreprise ou une abréviation
  • interdiction des mots de passe qui correspondent au format des dates de calendrier, des numéros de plaque d’immatriculation, des numéros de téléphone ou d’autres numéros courants

D’autres systèmes créent un mot de passe initial pour l’utilisateur; mais exiger ensuite de le changer en l’un de leur choix dans un court intervalle.

Liste de blocage des passeursdit

Les listes de blocage des mots de passe sont des listes de mots de passe toujours bloqués. Les listes de blocage contiennent des mots de passe construits avec des combinaisons de caractères qui respectent par ailleurs la politique de l’entreprise, mais ne doivent plus être utilisés car ils ont été jugés non sécurisés pour une ou plusieurs raisons, telles qu’être facilement devinés, suivre un modèle commun ou divulguer publiquement des violations de données antérieures. Les exemples courants sont Password1, Qwerty123 ou Qaz123wsx.

Durée du mot de passemodifier

Certaines stratégies exigent que les utilisateurs changent de mot de passe périodiquement, souvent tous les 90 ou 180 jours. L’avantage de l’expiration du mot de passe, cependant, est discutable. Les systèmes qui implémentent de telles stratégies empêchent parfois les utilisateurs de choisir un mot de passe trop proche d’une sélection précédente.

Cette politique peut souvent se retourner contre elle. Certains utilisateurs ont du mal à concevoir de « bons » mots de passe faciles à mémoriser, donc si les gens doivent choisir de nombreux mots de passe parce qu’ils doivent les changer souvent, ils finissent par utiliser des mots de passe beaucoup plus faibles; la politique encourage également les utilisateurs à écrire des mots de passe. De plus, si la stratégie empêche un utilisateur de répéter un mot de passe récent, cela nécessite qu’il existe une base de données contenant les mots de passe récents de chacun (ou leurs hachages) au lieu d’effacer les anciens de la mémoire. Enfin, les utilisateurs peuvent changer leur mot de passe à plusieurs reprises en quelques minutes, puis revenir à celui qu’ils veulent vraiment utiliser, contournant complètement la politique de changement de mot de passe.

Les aspects humains des mots de passe doivent également être pris en compte. Contrairement aux ordinateurs, les utilisateurs humains ne peuvent pas supprimer une mémoire et la remplacer par une autre. Par conséquent, changer fréquemment un mot de passe mémorisé est une pression sur la mémoire humaine, et la plupart des utilisateurs ont recours à un mot de passe relativement facile à deviner (voir Fatigue du mot de passe). Il est souvent conseillé aux utilisateurs d’utiliser des dispositifs mnémoniques pour mémoriser des mots de passe complexes. Cependant, si le mot de passe doit être modifié à plusieurs reprises, les mnémoniques sont inutiles car l’utilisateur ne se souviendrait pas du mnémonique à utiliser. De plus, l’utilisation de mnémoniques (conduisant à des mots de passe tels que « 2BOrNot2B ») rend le mot de passe plus facile à deviner.

Les facteurs d’administration peuvent également poser problème. Les utilisateurs ont parfois des appareils plus anciens qui nécessitent un mot de passe utilisé avant l’expiration de la durée du mot de passe. Afin de gérer ces appareils plus anciens, les utilisateurs peuvent avoir recours à l’écriture de tous les anciens mots de passe au cas où ils auraient besoin de se connecter à un appareil plus ancien.

Exiger un mot de passe très fort et ne pas le modifier est souvent préférable. Cependant, cette approche présente un inconvénient majeur: si une personne non autorisée acquiert un mot de passe et l’utilise sans être détectée, cette personne peut y avoir accès pour une durée indéterminée.

Il est nécessaire de peser ces facteurs: la probabilité que quelqu’un devine un mot de passe parce qu’il est faible, par rapport à la probabilité que quelqu’un réussisse à voler, ou autrement acquérir sans deviner, un mot de passe plus fort.

Bruce Schneier soutient que « à peu près tout ce dont on peut se souvenir peut être craqué », et recommande un schéma qui utilise des mots de passe qui n’apparaîtront dans aucun dictionnaire.

SanctionEdit

Les stratégies de mot de passe peuvent inclure des sanctions progressives commençant par des avertissements et se terminant par une éventuelle perte de privilèges informatiques ou la résiliation d’un emploi. Lorsque la confidentialité est exigée par la loi, p. ex. avec des informations classifiées, une violation de la politique de mot de passe pourrait être une infraction pénale. Certains considèrent qu’une explication convaincante de l’importance de la sécurité est plus efficace que les menaces de sanctions.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.