Dois-je forcer mes utilisateurs à changer de mot de passe tous les n jours / semaines / mois?

La question dit tout. Nous concevons un système où la sécurité est très importante. L'une des idées que quelqu'un avait était de forcer les utilisateurs à changer de mot de passe tous les 3 mois. Mon point de vue à ce sujet est que, même s'il est plus sûr, car le mot de passe change souvent, il oblige également nos utilisateurs à se souvenir des mots de passe changeants et il est plus possible qu'ils l'écrivent simplement quelque part pour aider à se souvenir.

Dans la même idée, il est vraiment bon de forcer les utilisateurs à utiliser un mot de passe super difficile à deviner. Obligez-les à utiliser?% &% Et des minuscules majuscules. Je sais que c'est assez compliqué d'inventer un tel mot de passe et de s'en souvenir.

Là encore, nous ne voulons pas que quiconque utilise 12345.

Donc. Existe-t-il des livres blancs sur ce sujet? Bonnes pratiques?

Je parle d'un site Web créé avec PHP. MySQL dans un environnement de lampe si cela change quelque chose.

Je pense que je pourrais être minoritaire à ce sujet (sur la base de mon expérience limitée des services informatiques à l'école et au travail), mais je pense que les politiques de changement de mot de passe obligatoires et basées sur le temps ne valent pas au mieux et sont nuisibles au pire. Les gens ont tendance à être très mal à choisir de bons mots de passe et à les garder secrets. Les politiques d'expiration des mots de passe sont conçues pour atténuer cela en limitant la durée pendant laquelle un mot de passe peut être piraté / conçu par les réseaux sociaux / volé; cependant, ils n'y parviennent pas dans la pratique, principalement parce qu'ils forcent les utilisateurs à réapprendre leur mot de passe de façon continue. En rendant plus difficile pour l'utilisateur de valider leurs mots de passe en mémoire, vous finissez par obliger nombre d'entre eux à choisir des mots de passe plus faibles et / ou à écrire leurs mots de passe quelque part où les regards indiscrets peuvent les trouver.

De plus, lorsqu'ils sont obligés de modifier régulièrement leur mot de passe, de nombreux utilisateurs choisissent des mots de passe qui suivent un modèle très reconnaissable, comme [base string][digit]. Supposons qu'un utilisateur souhaite utiliser le nom de son chat Fluffy comme mot de passe. Ils pourraient commencer avec un mot de passe fluffy, puis changer à fluffy1, fluffy2, fluffy3et ainsi de suite. Dans ce cas, la politique n'aide pas vraiment la sécurité; même si l'utilisateur choisit une chaîne de base plus sécurisée que fluffy, et même s'il garde son mot de passe mémorisé en toute sécurité, le caractère suffixe unique qui change tous les quelques mois fait très peu pour atténuer les attaques de craquage ou d'ingénierie sociale.

Voir aussi: Expiration du mot de passe considérée comme nuisible , un court article (non écrit par moi) qui, je pense, donne une bonne introduction à ces problèmes.

Ma grande organisation (plus de 15 000 utilisateurs) a mis en œuvre des «changements de mot de passe» tous les 120 jours à l'automne 2009. C'est un énorme casse-tête informatique et un gaspillage de ressources d'assistance. Chaque fois que cette fenêtre de 120 jours se déroule, des milliers d'utilisateurs sont obligés de changer leur mot de passe .... ce que beaucoup d'entre eux font de manière incorrecte et verrouillent leur compte .... ou oublient le lendemain. Notre helpdesk est submergé d'appels par mot de passe, même si nous avons essayé d'en faire autant que possible en libre-service.

Si vous voulez que vos utilisateurs / clients vous détestent ... et que votre personnel informatique de première ligne vous brûle à chaque fois qu'ils en ont l'occasion ... implémentez des changements de mot de passe.

Les politiques de changement de mot de passe sont une case à cocher dans certains IT Manager comment réserver quelque part ... et cela a été écrit il y a 15 ans. Personne dans les tranchées qui met réellement en œuvre ou soutient la politique ne vous dira jamais que c'est une bonne idée.

J'ai plaidé ici pour des "phrases de passe" au lieu de mots de passe ... beaucoup de bien qui a fait ... cette lumière au bout du tunnel était un train venant en sens inverse. :)

Une phrase de passe est une longue chaîne presque impossible à deviner qui est très facile à retenir, comme "MyCatIsFromSpainAndICallHimElGato". Ou peut-être une réplique d'un poème ou d'une chanson.

Si vous voulez qu'il soit vraiment difficile de craquer .... jouer avec le boîtier, ajouter de la ponctuation, changer certains en ells, ohs en zéros, a en @, etc ... Mais gardez-le en mémoire ... .c'est la clé. Il y a même des façons de les choisir pour qu'ils coulent facilement de vos doigts vers le clavier ... afin que vous ne rebondissiez pas partout entre les mains ou avec des SHIFT et des ponctuations étranges.

Donc...

• Utilisez de longues "phrases de passe".
• Testez-les en interne pour la force.
• Implémentez la "connexion unique" sur l'ensemble de votre infrastructure afin que les clients ne l'utilisent qu'une ou deux fois par jour.
• Ne les forcez jamais à le changer.
• Et éduquer, éduquer, éduquer sur leur bon usage.

Mat

EDIT: 24/08/2011 XKCD est d' accord et l'a dit mieux que moi.

Non. Mon opinion personnelle est que c'est inutile et même contre-productif . J'ai déclamé sur mon blog, mais vous pouvez le traquer si vous êtes intéressé.

En bref, cela se résume à deux raisons:

1. Forcer un utilisateur à changer constamment son mot de passe conduit à de mauvais mots de passe.

Il n'y aura pas de pénurie de preuves anecdotiques à ce sujet, mais il est logique que si je suis obligé de me souvenir d'une nouvelle chose tous les x jours, je rendrai ces choses faciles à retenir et probablement liées les unes aux autres.

Les utilisateurs sont beaucoup plus susceptibles de choisir des mots de passe "devinables" comme "Jan2010" ou "Password05" s'ils savent que cela devra bientôt changer. L'application d'une politique stricte sur les caractères entraînera probablement un point d'exclamation supplémentaire ou un nom entièrement orthographié plutôt qu'une abréviation. Il y a une grande différence entre un mot de passe techniquement complexe et celui qui ne sera pas deviné.

2. Forcer des changements de mot de passe réguliers n'empêche pas les attaques, cela ne fait que réduire les risques (et pas beaucoup)

Pensez-y - si votre mot de passe est deviné ou découvert d'une manière ou d'une autre, combien de temps faudrait-il à un attaquant pour utiliser ces informations? Mettez-vous à la place de l'attaquant. Vous venez de découvrir un mot de passe. Souhaitez-vous pas vous connecter et extraire chaque bit d'informations que vous pourriez tout de suite au cas où quelqu'un le découvrirait? En 30 jours, vous avez déjà tout ce que vous voulez.

Ma recommandation:

• Forcer une politique de mot de passe extrêmement stricte (comme 15 caractères avec majuscules, minuscules, chiffres et caractères spéciaux, sans mots anglais> 3 caractères)
• Ne faites jamais changer l'utilisateur de mot de passe. S'ils doivent écrire le mot de passe sur un morceau de papier et le conserver dans leur portefeuille, c'est très bien. Les gens sont bons pour sécuriser des morceaux de papier, mais pas si bons pour se souvenir de chaînes de caractères aléatoires.

Du point de vue d'un utilisateur, devoir changer mon mot de passe est incroyablement gênant. Je déteste absolument devoir le faire et n'utiliserai à contrecœur les sites dont j'ai absolument besoin que s'ils me demandent de changer mon mot de passe.

Il y a également eu des discussions pour savoir si c'est vraiment une bonne pratique, car certaines personnes finissent par devoir écrire leurs mots de passe afin de s'en souvenir.

Vous pouvez implémenter l'un de ces widgets qui montrent aux gens à quel point leur mot de passe est fort (ou faible) pendant qu'ils le remplissent - je les trouve (en quelque sorte) utiles, bien que je ne sais pas s'ils aboutissent réellement à un renforcement mots de passe.

En tant qu'utilisateur d'un environnement de politique de mot de passe assez strict ("mots de passe super difficiles à deviner" et changement de mot de passe), je pense que seul le mot de passe dur est nécessaire. Bien qu'il faudra un peu de temps à vos utilisateurs pour s'y habituer (surtout s'ils sont du type 12345), ils devraient pouvoir le rappeler et le taper facilement en une semaine.

Cependant, je peux prédire les utilisateurs finaux mal à l'aise si vous avez des mots de passe aussi forts ET si vous les forcez à changer.

Du point de vue de l'administration informatique, votre meilleure option est d'étudier la possibilité de laisser votre application utiliser les capacités d'authentification unique du schéma d'authentification existant que vos clients utilisent. Évidemment, Active Directory est un acteur important, mais si votre application fonctionne avec la stratégie que l'informatique sur site a déjà configurée, vous n'avez pas à vous soucier de réinventer la roue.

Étant donné que tant de débats ont surgi sur la question de savoir si les changements de mot de passe appliqués sont une bonne idée (même si je pense que c'était secondaire à votre question principale), j'ai pensé que vous pourriez apprécier certaines des idées et des liens ici . Dans la plupart des situations, si vous n'imposez pas un calendrier de complexité et de modification des mots de passe, vous pouvez tout aussi bien ne pas avoir de mots de passe - mais la façon dont il est mis en œuvre (formation, support de gestion, etc.) est plus importante que je ne peux le souligner.

La modification fréquente des mots de passe peut conduire l'utilisateur à les écrire. Ce qui n'est pas une si mauvaise idée selon Bruce Schneier ( http://www.schneier.com/blog/archives/2005/06/write_down_your.html ).

Je dirais même que la sécurité peut nuire à la convivialité peut parfois être une bonne chose, simplement parce qu'elle rappelle à l'utilisateur d'agir en toute sécurité. Par exemple, dans la banque où je travaille, beaucoup de mesures de sécurité en place sont un théâtre de sécurité (par exemple la reconnaissance faciale à la porte, mais le gars de la sécurité vous ouvrira la porte si la reconnaissance échoue). Bien que ces mesures n'améliorent pas la sécurité en elles-mêmes, elles sont toujours là pour nous rappeler que la sécurité est une préoccupation importante au travail, qu'il y a une certaine quantité de journalisation et de vérification en cours, et que si vous êtes pris en train de faire quelque chose de «non sécurisé», vous sera en difficulté.

Bien sûr, cela s'applique à la sécurité des employés d'une banque, cela peut ne pas s'appliquer aux utilisateurs de votre site Web ...

Vous devez obliger vos utilisateurs à changer tous les n jours si votre politique de sécurité l'exige. Je travaille pour une agence d'État, et c'est une exigence imposée par le bureau du vérificateur d'État. Je ne peux rien y faire, donc je dois forcer les changements.

Si vous n'êtes pas lié par la réglementation pour forcer les changements de mot de passe, ne les forcez pas. Assurez-vous que les mots de passe qui sont définis répondent à certaines exigences de complexité minimale. La longueur l'emporte sur la complexité pour la plupart des systèmes de mots de passe, donc un standard variable est le meilleur cas à mon avis. Tel que:

• Aucun mot de passe ne doit contenir moins de 10 caractères.
• Les mots de passe de 10 à 25 caractères nécessitent au moins 3 jeux de caractères.
• Les mots de passe de 25 à 40 caractères nécessitent au moins 2 jeux de caractères.
• Les mots de passe de plus de 40 caractères peuvent utiliser un seul jeu de caractères.

Les schémas de complexité intégrés pour des choses comme Active Directory ne prennent pas en charge ce type de système à plusieurs niveaux. Si vous créez votre propre environnement de changement de mot de passe, vous pouvez faire des choses comme ça. Étant donné que chaque utilisation de la touche Maj augmente la probabilité d'un événement fat-finger, les mots de passe longs avec plusieurs jeux de caractères sont BEAUCOUP plus susceptibles d'entraîner des événements de connexion infructueuse, en particulier pendant les étapes d'apprentissage. Si vous avez un système de verrouillage de compte en place, cela peut être un gros problème. Pour la personne qui utilise la 3ème ligne de son poème préféré (63 caractères!) Comme phrase de passe, ne pas avoir à h @ x0r, cela rend l'entrée rapide et efficace.

Si la technologie ou l'environnement de risque changent de manière significative et que vos mots de passe ne sont plus aussi complexes qu'ils devraient l'être, assurez-vous de faire expirer les mots de passe sur une période de temps. Les gens se plaindront de la nécessité, surtout si vous n'avez jamais forcé de changement auparavant, mais cela vous aidera à maintenir votre posture de sécurité.

Les mots de passe difficiles à deviner sont une bonne chose. L'application de niveaux de complexité qui obligent les utilisateurs à oublier leurs mots de passe ou à les écrire est une mauvaise chose, car toute sécurité acquise par la complexité est complètement perdue dans le processus. Dans un monde idéal (qui n'est malheureusement pas là où nous vivons), il devrait y avoir un compromis entre complexité et facilité d'utilisation. Bien sûr, différentes personnes verront ce point d'équilibre à différents endroits.

La logique derrière le changement régulier des mots de passe en X jours est un peu perdue pour moi. La raison pour laquelle j'entends généralement cela est de limiter l'utilité d'un mot de passe volé, auquel je réponds que tout dommage réel sera presque certainement fait dans les premières heures de toute façon. par exemple Fred "se familiarise avec" le mot de passe de Mary. À moins que cela n'arrive presque en même temps que Mary change ce mot de passe, quelle différence cela fait-il s'il est changé demain ou le mois prochain? Est-il vraiment probable que Fred attendra encore une semaine ou deux avant d'utiliser le mot de passe (en supposant que c'était toujours le cas)?

Évidemment, changer les mots de passe s'il y a une raison ou une suspicion que cela peut être nécessaire est une tout autre affaire.

Si l'application a besoin d'un niveau de sécurité aussi élevé, avez-vous envisagé d'utiliser quelque chose comme des jetons SecurID? Cela signifie que l'utilisateur obtient un nouveau mot de passe toutes les 60 secondes; vous n'avez pas à vous en préoccuper en écrivant des mots de passe. Cependant, cela coûte de l'argent. Dans quelle mesure la solution doit-elle être sécurisée?

Je pense que l'information des utilisateurs est importante, expliquez-leur comment créer un mot de passe et combien il est important de ne pas utiliser le même mot de passe deux fois. Un moyen facile de créer un mot de passe est de prendre une phrase et de prendre la première lettre de chaque mot et d'ajouter des chiffres.

Ex. J'aime gouverner le monde = Iltrw99

Ne les forcez pas à changer de mot de passe, cela ne fera que les confondre.

Bien que je ne sois pas d'accord avec un changement de mot de passe tous les trois mois, c'est une exigence si votre entreprise est cotée en bourse, et cela fait partie de la conformité SOX. Note de côté: Sarbanes-Oxley craint.

Quelque chose que je n'ai pas vu mentionné est l'accès externe aux ressources.

J'ai tendance à convenir que si vous choisissez une politique de mot de passe raisonnable, à moins que quelqu'un ne l'écrive, personne ne devinera ce mot de passe.

Cependant, supposons que vous ayez accès à la messagerie Web hors site, vous avez maintenant potentiellement des utilisateurs qui tapent leurs informations d'identification sur "n'importe quel ancien PC" et IMO qui augmentent le risque pour vos données professionnelles posées par les logiciels espions / programmes malveillants / chevaux de Troie et ainsi de suite qui peuvent renifler / voler ces mots de passe .

Si les gens écrivent des mots de passe simples, qu'est-ce qui vous fait penser qu'ils n'écriront pas une énorme phrase de passe ou un mot de passe super compliqué. Ce que les changements de mot de passe incrémentiels accomplissent est une purge des ID utilisateur qui ne sont plus utilisés automatiquement, et cela permet à l'utilisateur individuel d'avoir une certaine responsabilité dans tout cela. Les gens vont être des gens, à la recherche d'un chemin facile pour accomplir quelque chose; les mots de passe répétés et les mots de passe modifiés de manière incrémentielle peuvent être détectés et refusés. Les exigences de complexité peuvent être renforcées, les changements de mot de passe forcés peuvent également ouvrir les yeux des utilisateurs non informatiques à leur responsabilité dans tout cela. La plupart des utilisateurs qui se plaignent du changement de mot de passe sont les paresseux qui prétendent que changer leur mot de passe est comme une chirurgie à cœur ouvert. Arrête de pleurnicher, sois responsable et arrête d'essayer de trouver une rue facile,