Les recommandations concernant la sécurité des mots de passe viennent de changer pour prendre en compte les pratiques réelles des utilisateurs. Oubliez les chiffres et caractères spéciaux, et optez plutôt pour des mots de passe plus longs mais plus faciles à retenir.

au sommaire

    Le National Institute of Standards and Technology (NIST) aux États-Unis publie régulièrement une série de recommandations concernant les mots de passe, à destination notamment des entreprises. Toutefois, le dernier rapport contient quelques surprises qui pourraient bien simplifier la vie des utilisateurs.

    Tout d'abord, le NIST ne recommande plus de changer souvent le mot de passe. Cela augmente le risque que les utilisateurs choisissent de recyclerrecycler leurs anciens mots de passe, en y rajoutant un caractère à la fin. Une technique bien connue des pirates. Le changement ne doit être imposé que lorsque le système a été compromis.

    La fin des symboles dans les mots de passe ?

    De plus, la longueur des mots de passe serait plus importante que leur complexité. L'utilisation d'un mélange spécifique de caractères (majuscules, minuscules, chiffres, caractères spéciaux) ne devrait plus être exigé. Des analyses de bases de donnéesbases de données qui ont fuité ont montré que les gains, en termes de sécurité de cette pratique, sont beaucoup moins importants que prévu, et que cela rend les mots de passe beaucoup plus difficiles à mémoriser et à utiliser. Le rapport recommande à la place des mots de passe d’au moins 15 caractères, avec la possibilité d'aller jusqu'à 64 caractères.

    Pour le NIST, tous les sites devraient offrir un petit bouton pour afficher en clair le mot de passe en cours de saisie, le principal risque de sécurité n'étant pas quelqu'un qui regarde par-dessus votre épaule. Cela éviterait les erreurs de frappe qui peuvent faire croire aux utilisateurs qu'ils ont oublié leur mot de passe. En plus de mots de passe plus simples, mais plus longs, l'institut encourage l’authentification à deux facteurs, évitant qu'un pirate puisse accéder au compte même s'il dispose du mot de passe. Enfin, le NIST recommande l'utilisation d'un gestionnaire de mots de passe, qui facilite l'adoption de mots de passe plus sûrs, autrement dit plus longs et plus complexes. Même si imposer un mélange de majuscules, chiffres et symboles pour tous les utilisateurs est désormais déconseillé, car contreproductif, les mots de passe complexes restent plus sûrs.