Microsoft supprime les politiques d'expiration de mot de passe des consignes de sécurité de base
Pour Windows10 v1903 et Windows Server v1903
Le 2019-04-25 16:40:18, par Jonathan, Chroniqueur Actualités
Dans un article de son blog publié mercredi dernier, Microsoft a admis que les politiques d'expiration de mot de passe adoptées jusqu'à présent, constituaient une mesure de sécurité inutile. La société a qualifié ces politiques comme étant anciennes, obsolètes et a annoncé son intention de les supprimer à partir de la mise à jour Windows 10 de mai prochain. L'article explique bien qu'une fois supprimés, les paramètres d'expiration de mot de passe devront être remplacés par des nouveaux appliquant des pratiques de sécurité plus modernes et plus performantes.
Ces nouveaux paramètres de sécurité s'appliquent à Windows 10 v1903 et Windows Server v1903. Microsoft fait savoir que ces nouveaux paramètres ne forceraient plus les utilisateurs dont les comptes sont contrôlés par la stratégie de groupe d'un réseau donné à changer leurs mots de passe toutes les semaines ou tous les mois. Microsoft n'abandonne pas ses règles d'expiration de mot de passe dans tous les domaines, mais l'article explique clairement la position de la société qui pense que faire expirer les mots de passe ne sert à rien.
D'ailleurs voici ce qu'a dit Aaron Margosis, consultant chez Microsoft et auteur de l'article en question : « Il ne fait aucun doute que l’état de la sécurité par mot de passe pose problème depuis longtemps. Lorsque les humains choisissent leurs propres mots de passe, ils sont trop souvent faciles à deviner ou à prédire. En cas de vol de mots de passe, il peut être difficile de détecter ou de restreindre leur utilisation non autorisée. S'il est évident qu'un mot de passe risque d'être volé, combien de jours peuvent être considérés comme une durée de temps acceptable pour continuer à permettre au voleur d'utiliser ce mot de passe volé ? La valeur par défaut de Windows est de 42 jours. Cela ne vous semble-t-il pas ridiculement long ? Eh bien, si, et pourtant notre base de référence actuelle dit 60 jours. L'expiration périodique du mot de passe est une mesure d'atténuation ancienne et obsolète de très faible valeur, et nous ne pensons pas qu'il soit utile que notre base de référence applique une valeur spécifique. »
Microsoft note que les stratégies d'expiration de mot de passe ne sont utiles que dans un seul scénario : lorsque les mots de passe sont compromis. Si un mot de passe n'est pas compromis, il n'est pas nécessaire de changer de mot de passe régulièrement. En d’autres termes, Microsoft souhaite privilégier l’utilisation de mots de passe forts, longs et uniques, et non les modifier régulièrement. Microsoft ne prévoit pas de modifier les exigences relatives à la longueur minimale du mot de passe, à son historique ou à sa complexité.
La société note également que d'autres pratiques améliorent considérablement la sécurité même si elles ne figurent pas dans la stratégie de base qu'elle propose. L’authentification à deux facteurs, la surveillance d’activités de connexion inhabituelles ou l’application d’une liste noire de mots de passe sont explicitement mentionnées par Microsoft. Vous pouvez donc continuer à mettre à jour vos mots de passe si vous le souhaitez, mais même Microsoft vous dira que cela ne vous protégera pas.
Source : Microsoft
Et vous ?
Voir aussi :
Ces nouveaux paramètres de sécurité s'appliquent à Windows 10 v1903 et Windows Server v1903. Microsoft fait savoir que ces nouveaux paramètres ne forceraient plus les utilisateurs dont les comptes sont contrôlés par la stratégie de groupe d'un réseau donné à changer leurs mots de passe toutes les semaines ou tous les mois. Microsoft n'abandonne pas ses règles d'expiration de mot de passe dans tous les domaines, mais l'article explique clairement la position de la société qui pense que faire expirer les mots de passe ne sert à rien.
D'ailleurs voici ce qu'a dit Aaron Margosis, consultant chez Microsoft et auteur de l'article en question : « Il ne fait aucun doute que l’état de la sécurité par mot de passe pose problème depuis longtemps. Lorsque les humains choisissent leurs propres mots de passe, ils sont trop souvent faciles à deviner ou à prédire. En cas de vol de mots de passe, il peut être difficile de détecter ou de restreindre leur utilisation non autorisée. S'il est évident qu'un mot de passe risque d'être volé, combien de jours peuvent être considérés comme une durée de temps acceptable pour continuer à permettre au voleur d'utiliser ce mot de passe volé ? La valeur par défaut de Windows est de 42 jours. Cela ne vous semble-t-il pas ridiculement long ? Eh bien, si, et pourtant notre base de référence actuelle dit 60 jours. L'expiration périodique du mot de passe est une mesure d'atténuation ancienne et obsolète de très faible valeur, et nous ne pensons pas qu'il soit utile que notre base de référence applique une valeur spécifique. »
Microsoft note que les stratégies d'expiration de mot de passe ne sont utiles que dans un seul scénario : lorsque les mots de passe sont compromis. Si un mot de passe n'est pas compromis, il n'est pas nécessaire de changer de mot de passe régulièrement. En d’autres termes, Microsoft souhaite privilégier l’utilisation de mots de passe forts, longs et uniques, et non les modifier régulièrement. Microsoft ne prévoit pas de modifier les exigences relatives à la longueur minimale du mot de passe, à son historique ou à sa complexité.
La société note également que d'autres pratiques améliorent considérablement la sécurité même si elles ne figurent pas dans la stratégie de base qu'elle propose. L’authentification à deux facteurs, la surveillance d’activités de connexion inhabituelles ou l’application d’une liste noire de mots de passe sont explicitement mentionnées par Microsoft. Vous pouvez donc continuer à mettre à jour vos mots de passe si vous le souhaitez, mais même Microsoft vous dira que cela ne vous protégera pas.
Source : Microsoft
Et vous ?
Voir aussi :
-
transgohanExpert éminentJe ne suis pas certain que cela soit l'avis de la majorité des responsables en sécurité.le 26/04/2019 à 9:43
-
KikutsMembre éprouvéBonne nouvelle, ça évitera que certains notent le nouveau mot de passe sur un post it car ils l'ont oublié car changé déjà 18 fois parce qu'ils ont de l'ancienneté....
Good joble 26/04/2019 à 10:44 -
sinopleMembre chevronnéJ'ai de la peine à comprendre, même si sur le fond je suis d'accord.
Pour moi leur rôle c'est de fournir les outils et fonctionnalités, pas de forcer la politique de ces clients (à la limite définir un comportement par défaut et voir donner des recommandations). Après pour ce qui concerne leur cloud ou service il font effectivement ce qu'ils veulent.
Et si ce sujet leur tiens réellement à cœur, ils pourraient mettre en place une fonctionnalité de vérification de complexité de mot de passe un peu plus évoluée (avec utilisation d'un dictionnaire par exemple).Je pense que les trois quart moitié de ces responsables se basent sur les recommandations de Microsoft dans leur documentation pour justifier l'activation de ces fonctions (qui a tendance à emmerder tous le monde dans une organisation, ne nous mentons pas).Je ne suis pas certain que cela soit l'avis de la majorité des responsables en sécurité.le 26/04/2019 à 11:20 -
Thomasa21InactifIl est vrai que devoir changer de mot de passe tout le temps devenait un peu compliqué. on était parfois obligé de le noter pour s'en souvenir et oui, cela était risqué. Comme ils le disent eux-mêmes, si le mot de passe n'a pas été compromis, il n'est pas nécessaire de le changer.le 27/04/2019 à 8:49
-
edomsMembre régulierAh, enfin
J
Sur ce, je dépose ça là innocemment :le 26/04/2019 à 14:59 -
GorzyneMembre régulieroui enfin y a les attaques par dictionnaire aussiSur ce, je dépose ça là innocemment :le 05/06/2019 à 17:45