Dans la foulée des recommandations actualisées de Microsoft sur les mots de passe, le National Institute for Standards and Technology (NIST) a publié ses propres lignes directrices actualisées sur les mots de passe. Ces recommandations reprennent un grand nombre de celles de Microsoft, ce qui leur confère une crédibilité supplémentaire ; dans certains domaines, elles vont même plus loin. Lorsque deux influenceurs majeurs du secteur de la sécurité parviennent indépendamment à des conclusions aussi similaires, il s'agit d'un signal fort indiquant que les entreprises devraient examiner attentivement leurs politiques en matière de mots de passe - à la fois pour leurs systèmes internes et pour leurs services externes qui disposent d'un magasin d'identités.
L'importance du document du NIST
Qu'est-ce que cette nouvelle publication du NIST ? Le document SP 800-63-3 s'intitule "Digital Authentication Guideline" et définit les exigences permettant de satisfaire à quatre niveaux d'assurance (LOA - degré de certitude qu'une entité est ce qu'elle prétend être ou qui elle prétend être). L'un des documents, SP 600-63-3B, est intitulé "Authentication & Lifecycle Management" et se concentre sur les directives relatives aux mots de passe.
Pourquoi ce document est-il si important ? L'une des nombreuses fonctions du NIST est de fournir des lignes directrices pour le secteur public, en d'autres termes toutes les applications du gouvernement fédéral. Nombre de ces lignes directrices ne sont que des recommandations, mais un certain nombre d'entre elles sont des exigences que toutes les applications doivent respecter. L'influence du NIST est donc considérable, mais elle l'est encore plus, car de nombreux autres secteurs et entreprises suivent ces lignes directrices.
Examinons les recommandations du NIST, leur comparaison avec celles de Microsoft et les points sur lesquels le NIST va plus loin. Un thème commun aux deux séries de recommandations est l'amélioration de la convivialité, en particulier lorsque les recommandations renforcent la sécurité ou lorsque les politiques existantes, peu conviviales, ne la renforcent pas. Les recherches ont montré que plus les politiques en matière de mots de passe sont contraignantes, plus les utilisateurs risquent de tricher ou d'utiliser une méthode prévisible (1, 2, etc.) qui est facilement piratable.
Le NIST encourage l'utilisation de phrases de passe longues et faciles à retenir.
Le NIST exige désormais un minimum de 8 caractères, ce qui n'est pas radical, mais il exige également un maximum de 64 caractères pour encourager les phrases de passe. C'est l'un des thèmes du document : renforcer les systèmes afin qu'ils puissent gérer des mots de passe plus forts d'une manière plus facile à mémoriser pour l'utilisateur. En d'autres termes, il s'agit de faire peser la charge sur les systèmes, et non sur les utilisateurs. Avec Microsoft, ils recommandent également un dictionnaire de mots de passe courants qui peut être utilisé pour interdire les mots de passe faibles (par exemple "passw0rd !") lorsque l'utilisateur essaie de les définir.
L'autorisation des espaces, de tous les caractères ASCII et même potentiellement des caractères Unicode (tels que les emoji) dans les mots de passe est une autre exigence que nous serons tous heureux de voir mise en œuvre. Pouvez-vous imaginer utiliser des emoji dans vos mots de passe ? Il faudra que quelqu'un me montre des raccourcis clavier avant que je ne tente l'expérience ! Les espaces peuvent poser problème car il est difficile de distinguer un ou deux espaces, mais une autre nouvelle recommandation facilite un peu les choses : l'utilisateur doit pouvoir afficher le mot de passe qu'il a saisi, à condition qu'il se cache à nouveau après un certain laps de temps. Cette possibilité est de plus en plus répandue et je m'en réjouis.
Arrêter l'expiration des mots de passe
Microsoft et le NIST traitent tous deux de l'expiration des mots de passe et recommandent que ceux-ci n'expirent pas arbitrairement après un certain intervalle, à moins qu'il n'y ait des preuves de compromission. Contrairement aux systèmes d'identité sur site tels que Active Directory, la plupart des sites web ont toujours suivi cette règle. Je ne leur reconnais pas le mérite d'avoir été prévoyants dans leurs politiques de mots de passe, cependant ; ils ne voulaient tout simplement pas des tracas que l'expiration des mots de passe causerait à leurs services d'assistance et à leurs clients.
Le NIST rejette l'authentification basée sur les connaissances (hints ) qui peut être découverte ou forcée par un attaquant. Soyons réalistes, la plupart des malfaiteurs connaissent déjà le nom de jeune fille de votre mère. Le NIST recommande également de ne pas utiliser de règles de composition parce que c'est trop difficile pour l'utilisateur et qu'elles n'offrent pas autant de sécurité que ce que l'on pensait à l'origine.
Il est temps d'abandonner les SMS
L'un des changements majeurs, qui a suscité de nombreux commentaires, est la dépréciation ("nous n'allons pas encore la rejeter, mais nous n'allons plus l'améliorer") de l'utilisation du SMS comme deuxième facteur d'authentification. Il rejette catégoriquement l'utilisation d'un numéro VoIP (par exemple Google Voice) pour l'authentification par SMS, car il ne s'agit pas d'un deuxième facteur : ce n'est pas quelque chose que l'on possède. Leur préoccupation concernant les SMS en général est que le service n'est pas aussi sûr qu'il devrait l'être parce qu'il n'a pas été conçu pour ce type d'utilisation. Les criminels ont conçu des logiciels malveillants capables de rediriger les messages SMS, et l'échange de cartes SIM permet à un criminel de détourner les messages d'un utilisateur.
Malheureusement, si vous travaillez dans un secteur qui doit respecter des politiques de conformité telles que l'HIPAA, vous ne pouvez pas simplement mettre en œuvre ces nouvelles recommandations lorsqu'elles sont en désaccord avec les politiques. Vous devez attendre, peut-être des années, que les politiques rattrapent les recommandations.
Êtes-vous en désaccord avec l'une ou l'autre de ces nouvelles lignes directrices ? Il s'agit d'un projet de spécification, et le NIST encourage vivement la participation et les commentaires sur Github.
