icon

Directives du NIST sur les mots de passe 2021 | Bonnes pratiques en matière de politique de mot de passe

Directives sur les mots de passe du NIST

 

Une enquête récente a montré que deux tiers des entreprises ne changent pas de mots de passe. Le raisonnement derrière cette statistique est d'autant plus inquiétant que plus de la moitié des employés évitent de le faire car ils craignent d'oublier leurs nouveaux mots de passe, pensent que cette pratique est ennuyeuse ou n'en voient tout simplement pas l'intérêt.

Des politiques de gestion des mots de passe saines et robustes sont essentielles. Les entreprises et les employés doivent comprendre l'importance de mettre en œuvre des pratiques de mot de passe appropriées. Le National Institute of Standards and Technology (NIST) fournit des directives sur les mots de passe qui sont considérées comme la référence en matière de conformité générale en matière de confidentialité et de sécurité des données aux États-Unis.

Au début de cette année, les responsables du NIST ont annoncé des changements potentiels à leurs recommandations de sécurité. Dans cet esprit, nous souhaitons examiner les directives actuelles du NIST sur les mots de passe pour 2021 afin de vous aider à reconnaître les meilleures pratiques de mot de passe pour vous protéger contre les menaces de cybersécurité actuelles.

Directives NIST relatives aux mots de passe

Depuis 2014, l'Institut national des normes et de la technologie a publié des directives, des recommandations et des contrôles pour l'authentification de l'identité, y compris des pratiques optimales en matière de politique de mot de passe.

Directives sur les mots de passe du NIST

Ces directives ont évolué au fil des ans, car il y a eu plusieurs révisions, notamment en 2017 et 2019. Les directives de mot de passe du NIST couvrent les pratiques cruciales pour la création et la gestion des mots de passe et les exigences pour la validation de ces mots de passe.

L'objectif principal des directives de mot de passe du NIST est de créer une sécurité de mot de passe solide pour les utilisateurs et les entreprises et de contrôler strictement l'accès privilégié. Ces directives permettent aux organisations et aux entreprises de mieux se protéger contre le credential stuffing, les attaques par force brute et autres tentatives d'intrusion. Avec tout cela à l'esprit, examinons d'abord les recommandations de mots de passe obsolètes, puis passons aux dernières directives du NIST pour les mots de passe pour 2021.

Recommandations sur les mots de passe obsolètes

La plupart des entreprises appliquent des pratiques de mot de passe obsolètes, basées sur un ensemble de critères fondamentaux. Ces critères incluent généralement trois principales directives de sécurité des mots de passe :

  • Forcer des changements de mot de passe réguliers
  • Exiger que chaque nouveau mot de passe soit unique et n'ait jamais été utilisé auparavant sous quelque forme que ce soit
  • Assurez-vous que chaque mot de passe est complexe et se compose de caractères alphabétiques (minuscules et majuscules) et numériques, ainsi que d'autres symboles spéciaux

Ces consignes sont largement acceptées par de nombreuses entreprises et sont utilisées depuis des décennies. Bien qu'il n'y ait rien de mal en soi avec les politiques énumérées ci-dessus, elles ne sont pas assez sophistiquées pour répondre aux exigences de sécurité modernes.

Le fait qu'environ 57 % des personnes emploient encore ces pratiques obsolètes signifie que la porte du hameçonnage et des attaques de logiciels malveillants reste largement ouverte aux attaquants. Nous nous sommes habitués aux recommandations obsolètes et devons appliquer de nouvelles pratiques de gestion des mots de passe pour assurer une sécurité maximale. Cela nous amène au prochain sujet crucial.

Recommandations de mot de passe mis à jour

Le NIST a publié un ensemble révisé de directives qui couvrent les pratiques de sécurité recommandées qui s'appliquent le mieux à l'environnement actuel. Ce sujet nécessite un article entier, nous n'entrerons donc pas dans tous les petits détails. Cela dit, nous souhaitons examiner de près les dernières recommandations relatives aux mots de passe concernant les pratiques de sécurité existantes :

Caractères alphanumériques

Directives sur les mots de passe du NIST

Le système de mot de passe alphanumérique semble exister depuis les mots de passe eux-mêmes. Combiner des lettres minuscules et majuscules avec des chiffres et des caractères spéciaux pour rendre un mot de passe plus fort est une pratique que presque tous les systèmes de sécurité utilisent de nos jours.

Cependant, les directives du NIST sur les mots de passe stipulent que ce système ne crée pas nécessairement des mots de passe plus robustes et plus sécurisés.

Les nouvelles directives de mot de passe du NIST mettent l'accent sur un système plus dynamique, dans lequel les utilisateurs créeraient leurs mots de passe en comparant leurs nouveaux mots de passe avec des mots de passe faibles et ceux qui ont conduit à des fuites.

Longueur du mot de passe

La pratique actuelle est que les mots de passe doivent comporter environ 8 à 10 caractères. C'est l'un des aspects essentiels qui doivent changer, car les directives de mot de passe du NIST recommandent que les mots de passe d'au moins 64 caractères soient autorisés.

Avoir un mot de passe aussi long peut sembler un inconvénient. Cependant, se souvenir d'une phrase unique comme mot de passe est beaucoup plus facile que d'utiliser un charabia composé de chiffres et de caractères aléatoires.

Indices de mot de passe

«Quel était le nom de votre animal de compagnie d'enfance ?»
et «Le nom de votre premier enseignant» sont des indices de mot de passe quotidiens que les utilisateurs utilisent lorsqu'ils ont besoin de récupérer un mot de passe qu'ils ont oublié. Cependant, la qualité de ces indices de mot de passe laisse souvent à désirer, en particulier à l'ère des médias sociaux surexposés d'aujourd'hui.

Les nouvelles directives de mot de passe du NIST conseillent aux utilisateurs de s'éloigner des indices de mot de passe. Au lieu de cela, ils devraient utiliser l'authentification multifacteur comme méthode plus avancée et plus sûre de sécurisation des mots de passe.

Vous pouvez configurer le MFA pour qu'il vous identifie en fonction de votre empreinte digitale, de votre certificat numérique, de votre jeton matériel, de votre emplacement, de l'heure et bien plus encore. Il s'agit d'une étape de sécurité beaucoup plus difficile à pirater et qui réduit considérablement le risque de fuite de vos données.

Modifications forcées du mot de passe

Les nouvelles directives de mot de passe du NIST diminuent la valeur des changements de mot de passe forcés programmés. Ils soutiennent cette position en faisant valoir que la faiblesse de l'utilisateur à rechercher des modèles de mot de passe, comme ne changer que quelques chiffres ou changer de caractères, affaiblit le mot de passe et rend le changement moins important qu'il devrait l'être. De plus, si les pirates ont déjà les informations de l'utilisateur et que l'utilisateur n'apporte que de légères modifications au mot de passe existant, le changement de mot de passe forcé est inutile.

Copier-coller des mots de passe

Étonnamment, c'est quelque chose que le NIST a complètement changé de perspective depuis la dernière révision. L'institut était auparavant totalement opposé à l'activation des fonctionnalités de copier/coller lors de la saisie des mots de passe. Cependant, les nouvelles directives visent à inverser cette recommandation.

Le raisonnement derrière ce changement de recommandation est que le fait de devoir copier et coller des mots de passe complexes ne fera qu'encourager les employés à ne pas utiliser de mots de passe plus simples, mais à passer à des gestionnaires de mots de passe. Ces gestionnaires de mots de passe leur permettraient alors de générer et de stocker de manière aléatoire des mots de passe pour une utilisation pratique sans compromettre leur sécurité.

L'importance des gestionnaires de mots de passe et de la 2FA

La meilleure façon d'assurer une confidentialité et une sécurité maximales de vos mots de passe consiste à mettre en œuvre deux pratiques : utiliser un gestionnaire de mots de passe et utiliser l'authentification à deux facteurs. En ce qui concerne ce dernier, tout le monde s'accorde à dire que l'utilisation de l'authentification à 2 facteurs ajoute une couche de sécurité très solide à vos informations. Tous les experts s'accordent à dire que les connexions sans mot de passe sont la voie de l'avenir. Ce n'est qu'une question de temps lorsque les entreprises adopteront cette méthode d'authentification.

Cependant, lorsqu'il s'agit de gestionnaires de mots de passe, c'est là que les experts arrivent à la croisée des chemins. Pour certains, les gestionnaires de mots de passe sont un outil nécessaire et très pratique pour garantir la confidentialité et la sécurité. Pour d'autres, ils ne sont qu'un outil pour masquer le problème général en stockant les mots de passe derrière un autre mot de passe.

C'est parce qu'il est difficile de trouver des générateurs de mots de passe NIST qui répondent à toutes les normes et exigences. Le mieux que vous puissiez faire est de trouver un générateur et un gestionnaire de mots de passe fiables et sécurisés pour empêcher que vos précieuses données ne tombent entre de mauvaises mains.

Pour cette raison, l'utilisation de clés compactes tout-en-un compatibles Bluetooth telles que Hideez Key 3 ou Hideez Key 4 est une solution simple et élégante pour vos besoins de gestion de mot de passe. Il vous permet de stocker jusqu'à 2 000 identifiants de connexion et mots de passe dans un coffre-fort matériel. De plus, il sert de clé de sécurité multifonctionnelle qui vous aide à générer des mots de passe uniques et robustes et des mots de passe à usage unique pour l'authentification multifacteur.

Le meilleur est que cette solution de gestion des mots de passe peut être mise en œuvre non seulement pour des besoins personnels mais également pour une utilisation en entreprise, offrant de nombreuses fonctionnalités supplémentaires qui seraient parfaitement adaptées à un environnement multi-utilisateurs. Pour en savoir plus, veuillez nous contacter ou demander un pilote personnalisé gratuit :