web-dev-qa-db-fra.com

L'expiration du mot de passe offre-t-elle un quelconque avantage (lors de l'utilisation de mots de passe générés aléatoirement)?

J'ai vu un changement dans la politique de mot de passe, cela dure depuis un certain temps ( article de 2017 ) mais je viens juste de le comprendre. Dans mon organisation, nous expirons les mots de passe des utilisateurs tous les 90 jours. Quand ils ont établi leur base de référence, c'était une pratique standard. Mais:

... De nos jours, changer les mots de passe tous les 90 jours vous donne l'illusion d'une sécurité renforcée tout en infligeant des douleurs et des coûts inutiles à votre organisation ... SANS.org .

Supposons que tous mes utilisateurs soient des professionnels:
- Ils utilisent un générateur et un gestionnaire de mots de passe/mots de passe sécurisés pour tous leurs comptes.
- Il n'y a pas de notes autocollantes avec des mots de passe.
- Il n'y a pas de changement de mot de passe incrémentiel, par exemple. admin2018, admin2019 car les mots de passe/phrases de passe sont générés de manière aléatoire.

N'y a-t-il aucun avantage à remplacer leur mot de passe/phrase de passe actuel par un nouveau généré aléatoirement tous les 90 jours?

28
BenoitBalliu1

Oui, il y a toujours un avantage à changer les mots de passe tous les 90 jours. Forcer des modifications régulières offre une certaine protection contre l'utilisation non autorisée de mots de passe ou limite la durée d'une utilisation non autorisée. Il existe de meilleures alternatives pour atteindre ces mêmes objectifs (par exemple, détecter une utilisation anormale, une authentification basée sur les risques, etc.), mais vous n'avez pas demandé de comparer l'expiration du mot de passe à ces alternatives.

L'utilisation de mots de passe forts et générés de manière aléatoire réduit le risque d'abus de mot de passe en rendant peu probable que les comptes associés soient violés en raison de devinettes de mot de passe, de bourrage d'informations d'identification ou d'attaques de piratage de mot de passe. Cependant, il existe encore d'autres moyens pour un attaquant d'obtenir les mots de passe des utilisateurs, y compris les logiciels malveillants, la compromission du serveur d'authentification, les failles du gestionnaire de mots de passe ou l'utilisateur partageant délibérément son mot de passe avec d'autres. La force et l'unicité du mot de passe ne protègent pas contre ces attaques. A. Hersean dit de se concentrer sur la réparation de ces fuites, ce qui est un bon conseil, mais c'est plus facile à dire qu'à faire.

Si un attaquant compromet un mot de passe utilisateur, il aura un temps limité pour utiliser ce mot de passe si une politique d'expiration est en place. Pendant cette fenêtre d'opportunité, ils peuvent être en mesure de mener à bien toutes les actions malveillantes qu'ils envisagent, ou ils peuvent être en mesure d'intensifier leur attaque et de créer une porte dérobée continue pour un accès qui ne dépend pas du mot de passe de l'utilisateur d'origine. Ces situations ne bénéficient pas vraiment de l'expiration du mot de passe. Mais il existe d'autres situations où un attaquant n'est pas en mesure d'intensifier son attaque et a besoin d'une utilisation continue du mot de passe pour maintenir l'accès. Ce sont les situations où l'expiration du mot de passe est utile.

Ce qui est difficile à quantifier, c'est à quel point ces situations sont rares et dans combien de ces situations l'expiration du mot de passe empêcherait ou réduirait la durée des attaques. Il s'agit donc d'une analyse coûts-avantages approximative dans laquelle vous devez comprendre les coûts de maintenance d'une politique d'expiration de mot de passe. Si vous pouvez automatiser complètement les mises à jour régulières des mots de passe (certains gestionnaires de mots de passe peuvent rendre cela possible) et qu'il est transparent pour les utilisateurs, il semble que cela apporte de la valeur, même si les avantages sont rares. Si vous ne pouvez pas automatiser les modifications de mot de passe, cela peut ne pas fournir suffisamment d'avantages pour justifier les coûts de temps pour les utilisateurs. Dans ce cas, je me concentrerais sur des alternatives à l'expiration du mot de passe qui peuvent aider à détecter et à empêcher la compromission du mot de passe.

En outre, si vous pouvez automatiser complètement les modifications de mot de passe régulières, vous devez envisager d'appliquer les modifications qui ont lieu plus souvent qu'une fois tous les 90 jours. Cela devrait augmenter les avantages de l'expiration en réduisant davantage le risque de compromis sur les mots de passe.

5
PwdRsch

90 jours, c'est plus que suffisant pour profiter des informations d'identification volées (aussi solides soient-elles). De plus, la plupart des mots de passe ne varient que d'un ou deux chiffres lorsqu'ils sont modifiés, donc même un mot de passe de plus de 90 jours permettra à un attaquant de deviner le nouveau assez facilement.

Si vos mots de passe sont forts (générés aléatoirement par des gestionnaires de mots de passe) et que l'un d'eux est toujours capable de fuir et de se retrouver entre les mains d'un attaquant, la solution consiste à corriger la source de la fuite, et non à mettre à jour aveuglément les mots de passe. La modification des mots de passe n'empêchera pas les nouveaux mots de passe de fuir de la même manière. Il serait plus sage d'empêcher les tentatives de devinette de mot de passe et d'essayer de détecter les authentifications anormales. L'utilisation de 2FA appropriés pourrait également mieux atténuer les fuites de mots de passe.

Dans le même temps, cette politique pousse les utilisateurs à rendre les mots de passe plus faciles à mémoriser, donc plus faciles à deviner par un attaquant. Tout bien considéré, la politique de mise à jour régulière des mots de passe affaiblit la sécurité globale apportée par la protection par mot de passe. C'est pourquoi Microsoft prévoit de supprimer cette stratégie de Windows 1 à partir de la mise à jour de mai 2019. Le NIST aussi recommande contre son utilisation pour le mot de passe qui doit être mémorisé.

38
A. Hersean