banner
Maison / Nouvelles / Réflexions sur les changements de mot de passe programmés (ne les appelez pas rotations !)
Nouvelles

Réflexions sur les changements de mot de passe programmés (ne les appelez pas rotations !)

Oct 01, 2023Oct 01, 2023

Nous utilisons encore tous des mots de passe sur bon nombre, voire la plupart, de nos comptes, car nous utilisons encore de nombreux services en ligne qui n'offrent aucun autre type de système de connexion.

Aujourd'hui même, par exemple, j'ai payé des frais d'adhésion à un groupe lié au cyclisme qui m'a demandé mon adresse postale afin qu'il puisse m'envoyer ma carte de membre, ce qui, à mon avis, était un moyen délicieusement simple et à l'ancienne de me permettre de récupérer mon numéro de membre. à l'avenir sur la route.

Dans le genre de temps froid et détrempé que vous avez pendant une grande partie de l'année en Angleterre, sortir un téléphone portable, attendre un signal, enlever vos gants (ils ne sont pas très amusants à remettre quand vous êtes en hiver- gorgé d'eau), et jongler avec des applications, des sites Web, des mots de passe, des codes 2FA et plus encore…

… eh bien, ce n'est pas aussi simple que de trouver une carte en plastique étanche, résistante aux chocs et sans piles avec vos informations de base dessus.

Mais avec ma confirmation de paiement, m'informant que ma carte de membre était en route, il y avait un rappel que si jamais je voulais renouveler mon adhésion, ou demander une carte en plastique de remplacement étanche, résistante aux chocs et sans piles. (malheureusement, ils ne sont pas à l'épreuve des pertes), j'aurais besoin de créer un compte sur le site Web du groupe, alors pourquoi ne pas choisir un mot de passe tout de suite ?

En termes simples, pour éviter d'avoir besoin d'un mot de passe en premier lieu, j'aurais besoin d'en créer un en second lieu.

Et chaque fois que des mots de passe apparaissent, une question de longue haleine revient également :

Devriez-vous changer tous vos mots de passe tout le temps pour en faire des cibles rapides pour les cybercriminels, ou verrouiller des mots de passe vraiment complexes pour commencer, puis les laisser tranquilles ?

En effet, c'était le problème auquel était confronté un lecteur de longue date de Naked Security ce matin même, dont la propre équipe informatique était aux prises avec ce même dilemme, peut-être à cause d'un quasi-accident de cyber-insécurité qu'il venait de vivre de première main.

Ce qui est mieux?

Des mots de passe complexes ou des phrases secrètes qui ne sont pas souvent modifiées, ou des mots de passe mal choisis qui sont changés régulièrement ?

Nos réflexions sur le sujet sont les suivantes :

Changer régulièrement votre mot de passe n'en fait pas comme par magie un meilleur mot de passe.

Seul le fait de choisir un meilleur mot de passe en premier lieu en fait un meilleur mot de passe ! (C'est là que les gestionnaires de mots de passe peuvent vous aider.)

Naked Security Live – Et si mon gestionnaire de mots de passe est piraté ?

En d'autres termes, nous vous suggérons de vous attaquer d'abord au problème d'aider vos utilisateurs à choisir des mots de passe décents, puis de les inciter à reconnaître les cas où ils devraient changer de mot de passe tout de suite, sans avoir besoin d'un calendrier pour leur dire de le faire…

… et alors seulement, vous devriez vous demander si vous avez vraiment besoin d'une politique de mot de passe "modifications régulières indépendamment".

Les changements de mot de passe exigeants chaque mois alors que vous n'en avez tout simplement pas besoin invitent simplement les gens à enregistrer leurs nouveaux mots de passe de manière non sécurisée, ou à choisir de nouveaux mots de passe négligemment, ou à parcourir une séquence répétée de N mots de passe associés, ou à ne jamais mettre à jour leurs mots de passe tous les 30 jours, même en cas d'urgence.

Cela dit, verrouiller les utilisateurs qui n'ont pas accédé à des comptes d'entreprise spécifiques pendant un certain temps est une bonne idée. (Cela protège également modestement contre les comptes oubliés, car ils finissent par expirer automatiquement.)

Verrouiller les utilisateurs pour inactivité est plus intrusif que de simplement les forcer à réinitialiser leurs mots de passe régulièrement, et donc impopulaire.

Mais si quelqu'un a un identifiant de compte d'entreprise qu'il n'utilise pas, pourquoi ne pas le pousser à justifier en personne pourquoi il en a toujours besoin après qu'il ne l'a pas utilisé pendant, disons, six mois ou un an ?

Après tout, s'il s'agit d'une connexion pour un produit ou un service qui facture des frais par utilisateur… vous pourrez peut-être même économiser le coût de leur abonnement.

Et s'ils n'ont vraiment plus besoin du compte, vous les aidez à éviter les ennuis en empêchant les voleurs et les cybercriminels de faire de mauvaises choses en leur nom.

Suivre@NakedSecurity sur Twitterpour les dernières nouvelles sur la sécurité informatique.

Suivre@NakedSecurity sur Instagrampour des photos, des gifs, des vidéos et des LOL exclusifs !

Devriez-vous changer tous vos mots de passe tout le temps pour en faire des cibles rapides pour les cybercriminels, ou verrouiller des mots de passe vraiment complexes pour commencer, puis les laisser tranquilles ? Changer régulièrement de mots de passe n'est pas une alternative au choix et à l'utilisation de mots de passe forts. Forcer les gens à changer régulièrement leurs mots de passe peut les endormir dans de mauvaises habitudes. La planification des changements de mot de passe peut retarder les interventions d'urgence. @NakedSecurity sur Twitter @NakedSecurity sur Instagram