Le NIST recommande de nouvelles règles pour la sécurité des mots de passe
Le National Institute of Standards and Technology (NIST) a publié des lignes directrices actualisées pour la sécurité des mots de passe, marquant ainsi un changement important par rapport aux pratiques traditionnelles en matière de mots de passe. Trouver la source de cet article en anglais sur Cyber Security News (https://cybersecuritynews.com/nist-rules-password-security/)
Ces nouvelles recommandations visent à renforcer la cybersécurité tout en améliorant l’expérience des utilisateurs.
L’un des changements les plus notables est la position du NIST sur la complexité des mots de passe. Contrairement aux pratiques de longue date, le NIST ne recommande plus l’application d’exigences arbitraires en matière de complexité des mots de passe, telles que le mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. L’accent est désormais mis sur la longueur du mot de passe, qui constitue le principal facteur de solidité du mot de passe.
Un autre changement important est l’élimination des changements périodiques obligatoires des mots de passe. Le NIST affirme que les réinitialisations fréquentes de mots de passe conduisent souvent à des mots de passe plus faibles et encouragent les utilisateurs à effectuer des changements mineurs et prévisibles. Au lieu de cela, les mots de passe ne devraient être changés que lorsqu’il y a des preuves de compromission.
“Forcer les utilisateurs à changer régulièrement de mot de passe n’améliore pas la sécurité et peut même s’avérer contre-productif”, explique M. Turner. “Il est plus efficace de surveiller les informations d’identification compromises et de n’exiger des changements qu’en cas de nécessité.
Les nouvelles lignes directrices soulignent également l’importance de vérifier les mots de passe par rapport à des listes de mots de passe couramment utilisés ou compromis. Le NIST recommande aux organisations de tenir à jour une liste de mots de passe faibles et d’empêcher les utilisateurs de choisir n’importe quel mot de passe figurant sur cette liste.
En outre, le NIST déconseille l’utilisation d’indices de mots de passe ou de questions d’authentification basées sur la connaissance, car ils peuvent souvent être facilement devinés ou découverts par le biais de l’ingénierie sociale.
Au fur et à mesure que les organisations mettent en œuvre ces nouvelles lignes directrices, les utilisateurs peuvent s’attendre à voir des changements dans les politiques de mots de passe sur diverses plateformes et services. Bien qu’il faille un certain temps pour que tous les systèmes s’adaptent, les experts pensent que ces changements conduiront à une sécurité des mots de passe plus efficace à long terme.
Le NIST souligne que ces lignes directrices ne s’adressent pas uniquement aux agences fédérales, mais qu’elles constituent des pratiques exemplaires pour toutes les organisations concernées par la cybersécurité.
Les cyber-menaces ne cessent d’évoluer. Il est donc essentiel de se tenir au courant des dernières recommandations en matière de sécurité pour protéger les informations et les systèmes sensibles.
