L’autorité de normalisation américaine veut restreindre les règles appliquées aux mots de passe
Le NIST propose, entre autres, de ne plus remplacer les mots de passe tous les quelques mois et souhaite également supprimer la règle interdisant l’utilisation de caractères spéciaux.
Le National Institute of Standards and Technology (NIST) est l’autorité fédérale américaine en charge des normes technologiques qui s’appliquent à de nombreuses entreprises et organisations américaines. Dans une nouvelle proposition, l’institut souhaite se débarrasser de certaines règles fastidieuses et contre-productives concernant les mots de passe.
Un élément important en la matière: le remplacement forcé du mot de passe tous les quelques mois. Cette règle émane d’une époque où les gens avaient une connaissance moindre et utilisaient souvent des mots de passe peu sûrs, comme le nom de leur chien. Entre-temps, nombreux sont ceux qui utilisent un mot de passe plus solide ou généré automatiquement. Ce genre de mot de passe n’a pas besoin d’être remplacé, et la règle peut même nuire à la sécurité, car elle peut inciter les gens à choisir un mot de passe plus faible et plus facile à retenir.
De plus, le NIST examine également la règle d’utilisation de caractères spécifiques dans sa nouvelle proposition. Ici encore, dans un mot de passe suffisamment long, un point d’interrogation ou une majuscule supplémentaire ne sert à rien, et la règle rend simplement plus difficile pour les utilisateurs de choisir un bon mot de passe.
Que faire alors?
Dans sa proposition pour de nouvelles règles, le NIST souhaite notamment que les mots de passe comportent au moins 8 caractères, mais de préférence au moins 15 caractères. L’institut propose que tous les caractères ASCII soient acceptés et que les entreprises n’imposent pas d’autres règles de composition (comme l’utilisation d’au moins un caractère spécial ou un chiffre).
La proposition vise également à supprimer la réinitialisation périodique obligatoire des mots de passe, à moins qu’il n’y ait la preuve d’une fuite. Le NIST entend également bannir les questions de restauration d’un mot de passe basées sur la connaissance, telles que ‘Quel est le nom de votre premier animal de compagnie’ ou ‘Quel est le nom de famille de votre mère’.
Les règles sont provisoirement une proposition. Le NIST invite déjà à réagir. Si les règles sont introduites, elles ne seront obligatoires que pour les entreprises américaines, mais étant donné qu’elles sont quasiment omniprésentes sur internet, il y a de fortes chances qu’elles établissent une nouvelle norme souple pour presque tout le monde.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici