Sean Deuby

Sur la base des recherches effectuées à partir de milliards de tentatives de connexion à son service Azure, Microsoft met à jour ses recommandations en matière de mots de passe et supprime plusieurs bonnes pratiques de longue date.

Microsoft a récemment publié un livre blanc intitulé "Microsoft Password Guidance"qui explique les nouveaux conseils en matière de mots de passe, basés sur la quantité massive de données qu'ils collectent lors de la connexion à Azure AD (ils voient plus de 10 millions d'attaques de nom d'utilisateur / mot de passe par jour). (Ils voient plus de 10 millions d'attaques par nom d'utilisateur/mot de passe chaque jour.) Certaines de ces données correspondent à ce que vous pourriez penser... mais d'autres vont à l'encontre de la sagesse conventionnelle en matière de mots de passe.

L'auteur (Robyn Hicock, de l'équipe de protection de l'identité de Microsoft, avec une longue liste de contributeurs issus de son équipe, de Microsoft Research et de Microsoft IT) affirme que les pratiques de longue date en matière de mots de passe ne tiennent pas face aux attaques modernes axées sur les informations d'identification. En outre, certaines de ces politiques augmentent en fait la facilité avec laquelle les mots de passe peuvent être compromis et devraient donc être modifiées ou abandonnées.

Microsoft recommande sept actions pour assurer une protection maximale de l'identité par mot de passe :

  • Maintenir une longueur minimale de 8 caractères (une longueur supérieure n'est pas nécessairement préférable).
  • Éliminer les exigences en matière de composition des caractères.
  • Éliminer les réinitialisations périodiques obligatoires des mots de passe pour les comptes d'utilisateurs.
  • Interdisez les mots de passe courants, afin d'éviter que les mots de passe les plus vulnérables n'entrent dans votre système.
  • Apprenez à vos utilisateurs à ne pas réutiliser leur mot de passe à des fins non professionnelles.
  • Renforcer l'enregistrement pour l'authentification multifactorielle.
  • Permettre des défis d'authentification multi-facteurs basés sur le risque.

Examinons les recommandations les plus inhabituelles qui ont une incidence directe sur la manière dont une organisation définit sa politique en matière de mots de passe de domaine.

Tuer les anti-modèles

Maintenir une longueur minimale de 8 caractères. Microsoft Research a constaté que les mots de passe web longs et complexes sont un fardeau pour les utilisateurs (ce qui n'est pas une surprise), mais qu'ils sont en fait d'une efficacité limitée pour plusieurs raisons. La force du mot de passe n'a aucune importance si l'utilisateur est pris dans une attaque de phishing et qu'il le fournit, ou si son système est équipé d'un logiciel malveillant de type keylogger. Selon les auteurs, il s'agit là des attaques les plus courantes. Le mot de passe doit seulement être suffisamment fort pour résister à une règle de verrouillage du type "trois coups". Bien que cette étude porte sur les mots de passe web, il n'y a aucune raison pour qu'elle ne s'applique pas aux mots de passe Active Directory (et à votre propre politique de verrouillage).

Éliminer les exigences en matière de composition des caractères. C'est une bonne idée dans l'absolu, mais Microsoft et d'autres (Bruce Schneierpar exemple) ont constaté que, lorsqu'ils sont confrontés à des exigences en matière de complexité des mots de passe, les gens tombent dans quelques schémas reconnaissables que les programmes de craquage de mots de passe exploitent. Par exemple, il s'avère qu'un mot de passe typique se compose d'une racine qui est généralement quelque chose de prononçable et d'un suffixe tel qu'un chiffre. Et oui, ils savent que vous utilisez "$" pour "s", " !" pour "i", etc.

Éliminer les réinitialisations périodiques obligatoires des mots de passe pour les comptes d'utilisateurs. Les changements périodiques de mot de passe, qui sont en principe une bonne idée, échouent lorsqu'ils sont appliqués par le cerveau humain. Pourquoi ? Parce que les gens ont tendance à créer leur nouveau mot de passe sur la base de l'ancien, de manière très prévisible. En outre, comme les criminels utilisent les mots de passe dès qu'ils les compromettent, il n'y a aucun avantage à les contenir (les avertissements du type "Nous avons été compromis ; veuillez changer votre mot de passe pour éviter que votre compte ne soit piraté" arrivent bien trop tard).

Le conseil actualisé de Schneier et de Microsoft est que, à moins que vous ne pensiez que votre mot de passe pourrait être compromis, ne le changez pas. Je modifierais cette recommandation en disant : renforcez vos mots de passe au fil du temps, mais n'essayez pas d'en garder la trace vous-même : inclinez-vous devant nos maîtres robotiques et utilisez un utilitaire comme LastPass pour générer des mots de passe longs, complexes et impossibles à mémoriser et les stocker dans son coffre-fort crypté. Vous n'aurez alors plus qu'à vous souvenir d'un seul mot de passe complexe - le mot de passe principal de votre coffre-fort. Une fois que vous avez cédé la gestion à un tel utilitaire, c'est vraiment très libérateur ; vous pouvez instantanément créer un mot de passe poilu de 18 caractères tel que "wO2AECJ^OZhbXwY#0Y" pour un site web et avoir l'assurance qu'il est pratiquement indéchiffrable.

Appliquer les modèles de réussite

Bannissez les mots de passe courants. Microsoft estime que la mesure la plus importante que vous puissiez prendre en matière de sécurité consiste à bannir de votre système une liste de mots de passe faibles connus (par exemple abcdefg, passw0rd, etc.) afin de le renforcer contre les attaques par force brute. Microsoft a constaté que l'interdiction de ces mots de passe (ce qu'elle fait pour Azure AD) est très efficace pour éliminer les mots de passe faibles du système.

Si vous lisez ces lignes dans une entreprise traditionnelle, vous vous dites probablement : "C'est bien beau, mais comment puis-je mettre en œuvre une telle politique dans mon environnement Active Directory sur site ?" Si vous êtes un spécialiste AD comme moi, vous savez que cela nécessite un filtre de mot de passe personnalisé qui doit être installé sur tous les contrôleurs de domaine AD, et Microsoft ne fournit pas de fonctionnalités de bannissement de mot de passe dans sa version standard.

Il existe des produits tiers tels que Anixis Password Policy Enforcer ou nFront Password Filter qui offrent cette possibilité. Microsoft serait en train de travailler sur sa propre prise en charge de cette fonctionnalité ; dans son fil twitter, l'auteur dit "Nous avons quelque chose en préparation pour cela. Restez à l'écoute", mais il n'y a bien sûr aucun moyen de savoir quand cette fonctionnalité sera disponible. Étant donné que cette fonctionnalité doit s'intégrer à Windows Server Active Directory, le temps nécessaire dépend de la manière dont elle est mise en œuvre. Si elle fait partie d'Active Directory, le temps d'être profondément intégrée dans Windows Server 2016 est passé - ce qui signifie une attente de deux ans jusqu'à la prochaine version de Windows Server. Un filtre de mots de passe mis à jour (passfilt.dll) peut être mis à disposition en téléchargement à tout moment.

Apprenez à vos utilisateurs à ne pas réutiliser leur mot de passe à des fins non professionnelles. Il n'est pas difficile de supposer qu'une fois qu'un utilisateur a choisi ce qu'il considère comme un bon mot de passe pour le travail, il l'utilisera à nouveau pour d'autres sites. Malheureusement, c'est une pratique tellement courante que les criminels essaient toujours des informations d'identification compromises sur de nombreux sites ; Microsoft voit 12 millions d'informations d'identification fuitées (Microsoft maintient une grande liste d'informations d'identification compromises) testées sur ses systèmes chaque jour.

Il s'agit d'un modèle très difficile à appliquer, car il ne peut être mis en œuvre que par l'éducation des utilisateurs. Et c'est un combat difficile parce qu'il rend les choses plus difficiles pour les utilisateurs.

Renforcer l'enregistrement pour l'authentification multi-facteurs. L'authentification multi-facteurs (MFA) est rapidement adoptée par les entreprises et les grands fournisseurs de SaaS. Le fait de disposer d'un deuxième ensemble d'informations de sécurité (telles qu'une autre adresse électronique ou un numéro de téléphone portable) qui peuvent être vérifiées en dehors de la bande constitue une amélioration considérable de la sécurité. Activez le MFA partout où vous le pouvez ! Oui, cela peut être un peu pénible, mais c'est beaucoup moins pénible qu'un compte compromis.

Activer les défis d'authentification multi-facteurs basés sur le risque. Ce modèle fait passer l'authentification multifactorielle au niveau supérieur, en déclenchant une demande d'authentification multifactorielle lorsqu'une activité suspecte (telle qu'une adresse IP géographiquement différente de celle avec laquelle l'utilisateur s'est connecté auparavant) est détectée. Pour cela, il faut bien sûr que votre système de sécurité de connexion dispose de cette capacité.

Notez que si votre entreprise est soumise à des exigences de conformité, il se peut que vous ne puissiez pas mettre en œuvre tout ou partie de ces suggestions. Néanmoins, il est toujours bon d'être au courant de ce qui se passe dans le monde réel. Et il n'y a rien de plus réel que des données provenant d'un endroit où il y a 10 millions d'attaques par jour.