logo

Recommandations du NIST en matière de mots de passe

Que sont les recommandations du NIST en matière de mots de passe ?

Depuis 2014, l’Institut national des normes et de la technologie (en anglais, National Institute of Standards and Technology ou NIST, pour son acronyme), une agence fédérale aux États-Unis, publie des directives sur la gestion des identités numériques dans sa publication spéciale 800-63B. La dernière révision (rév. 3) a été publiée en 2017, et mise à jour récemment en 2019. La version 4 a été présentée aux différents acteurs pour qu’ils formulent leurs observations et commentaires. Cependant, la révision 3 est toujours en vigueur au moment de la publication de ce billet.
Le chapitre 5.1.1 — Secrets enregistrés (Memorized Secrets, dans sa version anglaise) fournit des recommandations quant aux exigences sur la création de nouveaux mots de passe ou leur modification, notamment des directives sur des questions telles que le niveau de sécurité des mots de passe. La publication spéciale 800-63B analyse également les vérificateurs (logiciels, sites Web, services d’annuaire réseau, etc.) qui permettent le traitement et la validation des mots de passe durant l’authentification et d’autres processus.

Sélection de contenu connexe :

Toutes les organisations ne sont pas tenues d’adhérer aux directives du NIST. Nombreuses sont néanmoins les entreprises à suivre ses recommandations en matière de politique de mot de passe, bien que ce ne soit pas absolument nécessaire. La raison ? Elles fournissent une base solide pour une gestion des identités numériques efficace. Une sécurité des mots de passe forte leur permet en effet de bloquer un grand nombre de cyberattaques, y compris les tentatives des hackers ou les attaques par force brute, comme le bourrage d’identifiant (credential stuffing) et les attaques par dictionnaire. En outre, la réduction des risques de sécurité liés à l’identité permet aux organisations d’assurer leur conformité avec un large éventail de réglementations, notamment les normes HIPAA, FISMA et SOX.

Courte liste de recommandations du NIST

Ce billet analyse en détail de nombreuses directives du NIST en matière de mots de passe, mais voici d’abord une courte liste de recommandations :

  • Les mots de passe générés par l’utilisateur doivent contenir au minimum 8 caractères.
  • Les mots de passe générés par la machine doivent contenir au minimum 6 caractères.
  • Les utilisateurs doivent pouvoir créer des mots de passe contenant au maximum 64 caractères.
  • Les mots de passe peuvent contenir des caractères ASCII/Unicode, y compris des emojis et des espaces.
  • Les mots de passe stockés doivent être hachés et salés. Ils ne doivent jamais être tronqués.
  • Les mots de passe potentiels doivent être vérifiés pour veiller à ce qu’ils ne soient pas inclus dans une base de données de mots de passe compromis et rejetés s’il existe une correspondance.
  • Les mots de passe ne doivent pas expirer.
  • Les utilisateurs ne sont pas autorisés à utiliser des caractères séquentiels (p. ex., « 1234 ») ou répétés (p. ex., « aaaa »).
  • Les codes d’authentification à 2 facteurs (2FA) ne doivent pas être envoyés par SMS.
  • L’authentification basée sur la connaissance (knowledge-based authentication en anglais, ou KBA, pour son acronyme) ne doit pas être utilisée (par exemple, « Quel était le nom de votre premier animal de compagnie ? »).
  • Les utilisateurs sont autorisés à 10 tentatives de connexion infructueuses avant que leur compte ne soit verrouillé.
  • Les indices de mot de passe ne sont pas autorisés.
  • Des exigences en matière de complexité, par exemple l’obligation d’inclure des caractères spéciaux, des chiffres ou des majuscules, ne sont pas requises.
  • Les mots spécifiques au contexte, comme le nom du service ou le nom d’utilisateur, ne sont pas autorisés.

Vous aurez sans doute remarqué que quelques-unes des bonnes pratiques ci-dessus vont à l’encontre des recommandations et des normes précédentes. Par exemple, le NIST a supprimé les exigences de complexité des mots de passe (comme l’obligation d’inclure des caractères spéciaux), un changement qui est intervenu en partie parce que les utilisateurs réussissent à les contourner. En effet, plutôt que de se débattre avec des mots de passe complexes et de risquer de voir leur compte verrouillé, les utilisateurs sont susceptibles de les écrire sur une feuille de papier et de les laisser près de leur ordinateur ou d’un serveur. Lors de la création de leur mot de passe, ils peuvent également en recycler un ancien basé sur des mots du dictionnaire en n’y apportant que très peu de changements, par exemple en incrémentant un chiffre à la fin du mot de passe.

Recommandations du NIST

Examinons maintenant en détail les directives du NIST.

Longueur et traitement du mot de passe

La longueur des mots de passe a longtemps été considérée comme un élément déterminant en matière de sécurité. Le NIST recommande dorénavant de mettre en place une politique de mot de passe qui requiert que tous les mots de passe générés par l’utilisateur contiennent au minimum 8 caractères, et que ceux générés par la machine en contiennent au minimum 6. De plus, il est conseillé d’autoriser les utilisateurs à créer des mots de passe qui contiennent au maximum 64 caractères.

Les vérificateurs ne doivent plus tronquer les mots de passe lors de leur traitement. Ils doivent être hachés et salés, et le hachage de mot de passe stocké en entier.

D’autre part, la politique de verrouillage de compte recommandée par le NIST consiste à autoriser les utilisateurs à effectuer 10 tentatives de connexion infructueuses avant que leur compte ne soit verrouillé.

Caractères autorisés

Tous les caractères ASCII, y compris l’espace, doivent être pris en charge. Le NIST précise que les caractères Unicode, comme les emojis, doivent également être acceptés.

Les utilisateurs ne sont pas autorisés à utiliser des caractères séquentiels (p. ex., « 1234 »), répétés (p. ex., « aaaa ») ou des mots courants du dictionnaire.

Mots de passe couramment utilisés et compromis

Les mots de passe les plus répandus ou compromis ne sont pas autorisés. Par exemple, vous devriez refuser tous ceux inclus dans des listes de mots de passe compromis connus (comme la base de données Have I Been Pwned?, qui comprend plus de 570 millions de mots de passe exposés). Vous devriez également refuser tous les mots de passe déjà utilisés dans le passé, les mots de passe les plus répandus et souvent utilisés, ainsi que ceux spécifiques au contexte (p. ex., le nom du service).

Lorsqu’un utilisateur tente de créer un mot de passe qui ne passe pas l’étape de vérification, un message devrait s’afficher en lui demandant d’en créer un nouveau en lui expliquant pourquoi l’entrée précédente a été rejetée.

Réduction de la complexité et expiration du mot de passe

Comme nous l’avons vu précédemment dans cet article, les exigences de complexité des mots de passe ont, dans le passé, mené à des comportements de l’utilisateur indésirables, plutôt que de renforcer la sécurité, ce qui était l’intention de départ. En gardant cela à l’esprit, le NIST recommande des exigences de complexité moindres et préconise par exemple la suppression de l’obligation d’inclure dans les mots de passe des caractères spéciaux, des chiffres, des majuscules, etc.

Une autre recommandation du NIST, directement liée aux comportements indésirables des utilisateurs et à leur diminution, est d’éliminer l’expiration du mot de passe.

Suppression des indices de mot de passe et de l’authentification basée sur la connaissance (KBA)

Même s’ils étaient censés aider la création de mots de passe plus complexes, les indices choisis la plupart du temps par les utilisateurs révélaient pratiquement leurs mots de passe. C’est pour cette raison que le NIST recommande de ne plus les autoriser.

Autre directive que l’institut appelle à respecter : ne pas utiliser l’authentification basée sur la connaissance (KBA), par exemple la question « Quel était le nom de votre premier animal de compagnie ? ».

Gestionnaires de mots de passe et authentification à 2 facteurs (2FA)

Afin de s’adapter au succès croissant des gestionnaires de mots de passe, ces derniers doivent permettre aux utilisateurs de copier-coller leurs mots de passe.

Les SMS ne sont plus considérés comme une option sécurisée pour la 2FA. Les applications qui génèrent des codes de validation, telles que Google Authenticator ou Okta Verify, doivent être utilisées à leur place.

Comment Netwrix peut vous aider

Netwrix propose plusieurs solutions spécialement conçues pour simplifier et améliorer la gestion des mots de passe et des accès :

  • Netwrix Password Policy Enforcer permet de créer facilement des politiques de mot de passe fortes, mais flexibles qui vous permettent de rester en conformité avec les meilleures pratiques de sécurité sans sacrifier la productivité des utilisateurs ni saturer le service technique informatique.
  • Netwrix Password Reset permet aux utilisateurs de déverrouiller en toute sécurité leurs propres comptes et de réinitialiser ou de changer leurs mots de passe à partir du navigateur. Ce self-service sécurisé de réinitialisation de mots de passe diminue considérablement la frustration des utilisateurs et la perte de productivité tout en réduisant fortement le volume d’appels du service technique informatique.

FAQ

Qu’est-ce que la publication spéciale 800-63B publiée par le NIST ?

Les directives sur l’identité numérique du NIST (publication spéciale 800-63B) proposent des recommandations solides sur la gestion des identités et des accès, notamment sur les politiques de mots de passe efficaces.

Pourquoi le NIST recommande-t-il de supprimer les exigences de complexité des mots de passe ?

Bien que des mots de passe complexes rendent la tâche plus difficile pour les hackers, il est également plus difficile de s’en souvenir. Pour éviter la frustration d’un compte verrouillé, les utilisateurs ont tendance à écrire sur un pense-bête leurs informations d’identification et à les laisser en évidence sur leur bureau. La plupart du temps, ils choisissent aussi régulièrement de réutiliser le même mot de passe (ou presque), ce qui augmente les risques de sécurité. C’est pour cette raison que le NIST recommande maintenant d’appliquer des exigences de complexité des mots de passe moins strictes.

Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité Data security GDPR Insider threat IT compliance IT security Office 365 PowerShell SharePoint Windows Server
...