Publié le 26 April 2019

Les mots de passe avec date d’expiration : bientôt choses du passé chez Microsoft.


La semaine dernière, on vous donnait nos trucs pour choisir un bon mot de passe. Pour poursuivre sur le même thème et l’importance d’un bon mot de passe, nous présentons ici notre résumé d’un blogue que Microsoft faisait il y a quelques jours sur les mots de passe avec date d’expiration et leur sécurité.

Sur Windows 10, le mot de passe est défini pour expirer après 42 jours. Pas pratique quand on a déjà de la difficulté à s’en souvenir. La compagnie abandonne cette politique et explique leurs raisons dans leur Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903. À noter qu’il n’est pas question ici de changer les critères minimums de longueur, historique et complexité des mots de passe.

Utilité questionnée

Microsoft admet que les politiques d’expiration sur les mots de passe sont inutiles. Quand un humain choisit son propre mot de passe, il y a de fortes chances pour qu’il soit facilement trouvable… ou qu’il l’oublie! Pour certaines raisons expliquées plus longuement dans leur article, ils ont choisi d’abandonner cette pratique. En résumé, si une entreprise ou un individu a déjà mis en place des systèmes de sécurité additionnels, l’expiration du mot de passe n’est pas vraiment nécessaire. Ce n’est utile que pour contrer la probabilité qu’un utilisateur découvre et utilise le mot de passe pendant son temps de validité. De plus, il est difficile d’établir le nombre de jours de validité d’un mot de passe. Pourquoi 42 jours? Pourquoi par 30, ou 60?

La meilleure protection

Microsoft précise que la sécurité des mots de passe est un problème. La stratégie de protection des consommateurs (et entreprises!) ne devrait pas se limiter à un bon mot de passe. Les doubles ou multiples authentifications et les listes de mots de passe bannis sont plus efficaces. Ils réitèrent dans leur article que les politiques de mots de passe avec expiration sont une pratique ancienne et obsolète. Même s’ils ne peuvent en faire état dans leur base de références, ils recommandent fortement des protections additionnelles comme les listes de mots de passe bannis, les authentifications à plusieurs facteurs, un système de détection des tentatives de découvrir les mots de passe et les tentatives de connexion anormales.

Quand changer de mot de passe?

Si votre mot de passe n’a pas été « volé », il n’y a aucune raison de le changer, même à sa date d’expiration, à moins de vouloir le complexifier. Si vous avez des raisons de croire qu’il a été subtilisé, n’attendez pas la date d’expiration pour le changer, faites-le maintenant!

Pour nos conseils en matière de sélection de mots de passe différents pour tous vos comptes, faciles à retenir et sécuritaires lisez notre article de blogue « Comment choisir un bon mot de passe ».


Source: Blogue Microsoft du 24 avril 2019 Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903.