Article
Politique de mot de passe
Une politique de mot de passe définit des règles pour protéger systèmes et applications des accès non autorisés liés à des identifiants faibles. C’est un élément essentiel de la posture de sécurité d’une organisation pour assurer des contrôles d’accès efficaces.
Cette politique guide la création et l’utilisation des mots de passe pour limiter les abus ou vols, renforçant ainsi la sécurité globale.
Lignes directrices du NIST sur les politiques de mot de passe
Critères relatifs à la politique de mot de passe de l’utilisateur
- Les utilisateurs doivent être informés de la politique de mot de passe et pouvoir créer leurs propres mots de passe.
- Les mots de passe créés par un utilisateur doivent comporter au moins huit caractères, mais peuvent en contenir jusqu’à 64.
- Tous les caractères d’imprimerie ASCII, la barre d’espacement et les caractères Unicode doivent être autorisés dans les mots de passe. Chaque point de code Unicode doit être considéré comme un seul caractère dans la politique.
- La politique ne doit pas imposer de restrictions supplémentaires sur le choix des mots de passe des utilisateurs. Par exemple, aucune exigence de mélange de caractères ou d’interdiction des caractères répétés ne doit être imposée.
- Les utilisateurs ne doivent pas être forcés de changer leur mot de passe, sauf en cas de preuve de compromission.
Politique de mot de passe et listes noires
Avant de confirmer un mot de passe, il doit être comparé à une liste de valeurs facilement devinables ou compromises. Cette liste inclut les mots de passe provenant de violations passées, les mots du dictionnaire ou les caractères répétitifs. Les séquences simples comme « aaaaaa » ou « 1234abcd » et les mots spécifiques au contexte, comme les noms d’utilisateur, doivent également être évités. Cette vérification prévient l’utilisation de mots de passe attendus ou courants qui compromettent la sécurité.
Si le mot de passe choisi par l’utilisateur est rejeté parce qu’il ne répond pas aux critères spécifiés ou qu’il figure sur une liste noire de mots de passe compromis, l’utilisateur devra choisir un autre mot de passe. Dans ce cas, l’utilisateur doit être informé de la raison pour laquelle son mot de passe a été rejeté.
Politique de mot de passe pour les fonctions « couper/coller » et « afficher »
Les utilisateurs doivent être autorisés à utiliser les fonctions « couper/coller » pour saisir les mots de passe dans les formulaires. De plus, les utilisateurs doivent avoir la possibilité d’afficher leur mot de passe lorsqu’ils le saisissent afin de confirmer qu’il est correct.
Politique de mot de passe en cas d’échec de tentatives de connexion
Un mécanisme de limitation du taux doit restreindre les tentatives de connexion infructueuses sur un compte utilisateur. Cela protège contre les attaques par supposition en ligne en limitant le nombre d’essais autorisés avant une restriction temporaire. Selon la section 5.2.2 de la norme NIST 800-63B, le nombre de tentatives ne doit pas dépasser 100.
Politique de mot de passe pour la protection des mots de passe
Il faut utiliser des solutions de cryptage et d’authentification pour transmettre en toute sécurité les mots de passe demandés. De plus, les mots de passe doivent être salés et hachés à l’aide d’une fonction de dérivation de clé à sens unique appropriée. Le sel doit être :
- créé par un générateur de bits aléatoires
- d’une longueur d’au moins 32 bits
- choisi arbitrairement
Le hachage doit être aussi important que le permettent les performances du serveur de vérification, généralement au moins 10 000 itérations.
Politique de mot de passe généré de manière aléatoire
Si un mot de passe est généré aléatoirement par l’application ou le système, il ne doit comporter que six caractères au minimum.
Politique de mot de passe pour la qualité
Un indicateur de robustesse doit informer les utilisateurs sur la qualité des mots de passe proposés. Cela les encourage à créer des mots de passe forts. Cet outil dissuade les modifications minimales sur des mots de passe rejetés, qui pourraient être acceptés malgré une qualité médiocre.
Politique de mot de passe pour les suggestions
Les utilisateurs ne doivent en aucun cas être autorisés à stocker un indice de mot de passe auquel quelqu’un d’autre qu’eux-mêmes pourrait avoir accès. De plus, aucune suggestion ne doit être donnée, telle qu’un indice. Par exemple, il n’est pas acceptable de demander aux utilisateurs des questions et des réponses de sécurité à utiliser comme indices, comme le nom de leur premier animal de compagnie, le modèle de leur première voiture ou le nom de jeune fille de leur mère.
Points forts des lignes directrices de la politique de mot de passe NIST SP800-63B |
|---|
-Autoriser l’utilisation de caractères ASCII, de caractères Unicode et d’espaces dans les mots de passe. |
Autres normes et lignes directrices en matière de sécurité des mots de passe
Voici quelques exemples de normes et de lignes directrices relatives à la politique de mot de passe :
Centre pour la sécurité de l’Internet (CIS)
L’objectif du Guide de politique de mot de passe du CIS est de constituer une politique de mot de passe unique et complète pouvant servir de norme partout où une politique de mot de passe est nécessaire. Les principales lignes directrices du CIS en matière de politique de mot de passe sont les suivantes :
- Autoriser tous les types de caractères dans un mot de passe et exiger au moins un caractère non alphabétique pour les comptes à mot de passe uniquement.
- Autoriser la fonction « Coller » dans les champs de mots de passe lors de l’utilisation d’un gestionnaire de mots de passe.
- Suspendre automatiquement un compte sans connexion valide dans les 45 jours.
- Changer le mot de passe immédiatement en cas de violation.
- Vérifier la création de nouveaux mots de passe à l’aide d’une liste de refus interne d’au moins 20 mots de passe faibles ou médiocres connus et des cinq mots de passe précédents.
- Ne pas autoriser les indices de mot de passe définis par l’utilisateur lors de la connexion.
- Appliquer l’expiration des mots de passe au bout d’un an.
- Un compte doit être verrouillé temporairement pendant 15 minutes ou plus après cinq tentatives infructueuses consécutives. La durée de verrouillage doit doubler entre chaque tentative supplémentaire. Après 12 tentatives infructueuses, un verrouillage permanent doit être appliqué, nécessitant une réinitialisation informatique.
- Verrouiller les sessions ouvertes après 15 minutes d’inactivité.
- Alerter le personnel concerné lorsque le nombre de tentatives de connexion erronées atteint la limite fixée.
Services d’information de la justice pénale (CJIS)
CJIS est la plus grande division du FBI qui fournit des outils et des services aux forces de l’ordre, aux partenaires de la communauté de la sécurité nationale et au grand public. Les orientations en matière de politique de mot de passe fournies par le CJIS suivent de près la norme NIST 800-63B. Plusieurs autres recommandations du CJIS ont trait à la politique de mot de passe, notamment :
- La biométrie ne doit être utilisée que dans le cadre d’une authentification multifactorielle avec un authentificateur physique.
- Modifier les mots de passe par défaut avant la première utilisation.
- Établir des procédures administratives pour la création initiale des mots de passe, les mots de passe perdus/compromis/endommagés et la révocation des mots de passe.
- Lorsqu’un mot de passe expire, il doit pouvoir être réutilisé.
- Implémenter des mécanismes d’authentification résistants aux attaques par rejeu pour l’accès aux comptes privilégiés et non privilégiés.
- Informer immédiatement les utilisateurs en cas de suspicion de perte ou de vol d’un mot de passe.
- Réauthentifier les utilisateurs au moins une fois toutes les 12 heures, pendant une session d’utilisation prolongée, et après 30 minutes si l’utilisateur est inactif.
- Mettre à jour les mots de passe chaque année ou lorsqu’il existe des preuves de compromission.
- Utiliser l’authentification multifactorielle pour les comptes privilégiés et non privilégiés.
Loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA)
La règle de sécurité HIPAA établit des normes nationales pour protéger les informations sensibles sur la santé des patients. Ces normes empêchent la divulgation sans consentement ou connaissance du patient. Les exigences HIPAA pour les mots de passe font partie des garanties administratives définies par la règle de sécurité HIPAA :
- Établir des directives pour créer et modifier les mots de passe selon un cycle périodique.
- Implémenter des procédures de création, de modification et de sauvegarde des mots de passe.
- Former le personnel à la protection des informations contenues dans les mots de passe.
Organisation internationale de normalisation/Commission électrotechnique internationale 27002
ISO/IEC 27002 est une norme de sécurité de l’information publiée par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC). Elle comprend des lignes directrices relatives à la politique de mot de passe afin d’empêcher l’accès non autorisé aux systèmes et aux applications, notamment :
- Modifier les mots de passe par défaut du fournisseur après l’installation des systèmes ou des logiciels.
- Create quality passwords with sufficient minimum length, which are:
- Faciles à mémoriser.
- Ne sont pas basés sur des éléments que quelqu’un d’autre pourrait facilement deviner ou obtenir à l’aide d’informations personnelles (par exemple, noms, numéros de téléphone et dates de naissance).
- Ne sont pas vulnérables aux attaques par dictionnaire (c’est-à-dire qu’ils ne sont pas constitués de mots figurant dans des dictionnaires).
- Ne pas utiliser les mêmes informations secrètes d’authentification à des fins professionnelles et non professionnelles.
- Assurer une protection adéquate des mots de passe lorsque ceux-ci sont stockés et utilisés dans le cadre de procédures de connexion automatisées.
- Interdire l’utilisation de caractères identiques consécutifs, entièrement numériques ou entièrement alphabétiques.
- Stocker et transmettre les mots de passe sous une forme protégée (par exemple, cryptée ou hachée).
- Use interactive password management systems that:
- Permettent aux utilisateurs de sélectionner et de modifier leurs mots de passe.
- N’affichent pas les mots de passe à l’écran lorsqu’ils sont saisis.
- Imposent l’utilisation d’identifiants et de mots de passe individuels afin de maintenir la responsabilité.
- Obligent les utilisateurs à changer leur mot de passe lorsqu’ils se connectent pour la première fois.
- Conservent un registre des mots de passe des utilisateurs précédents et empêche leur réutilisation.
- Invitent les utilisateurs à changer de mot de passe régulièrement et en cas de compromission.
- Exigent l’utilisation de mots de passe de qualité.
- Stocker les fichiers de mots de passe séparément des données du système d’application.
Protection des infrastructures critiques (CIP) de la North American Electric Reliability Corporation (NERC)
Le CIP de la NERC a des normes qui spécifient les exigences minimales de sécurité pour les systèmes de production d’électricité. Elle impose aux opérateurs de réseaux électriques des exigences en matière de politique de mot de passe, notamment :
- Modifier les mots de passe par défaut connus.
- Imposer la modification des mots de passe ou l’obligation de modifier le mot de passe au moins une fois tous les 15 mois calendaires.
- Limiter le nombre de tentatives d’authentification infructueuses.
- Exiger que le mot de passe comporte au moins huit caractères, dont au moins trois types de caractères différents (par exemple, alphabétique majuscule, alphabétique minuscule, numérique ou non alphanumérique).
Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
La norme PCI DSS comprend des exigences visant à protéger les informations sensibles et à préserver la vie privée. Dans ce cadre, elle fournit des lignes directrices en matière de politique de mot de passe, notamment :
- Toujours changer les mots de passe fournis par le fournisseur.
- Interdire que les mots de passe soient codés en dur dans les scripts.
- Interdire à une personne de soumettre un nouveau mot de passe qui soit identique à l’un de ses quatre derniers mots de passe.
- Obliger les utilisateurs à saisir à nouveau leur mot de passe s’ils sont restés inactifs pendant plus de 15 minutes.
- Limiter les tentatives d’accès répétées en verrouillant l’identifiant de l’utilisateur après six tentatives au maximum.
- Inviter les utilisateurs à modifier leur mot de passe au moins une fois tous les 90 jours.
- Exiger que les mots de passe aient une longueur minimale de 12 caractères et contiennent à la fois des caractères numériques et alphabétiques.
- Fournir une indication sur la robustesse du mot de passe lors de sa création.
- Utiliser l’authentification multifactorielle dans la mesure du possible.
- Les mots de passe seuls doivent comporter au moins 14 caractères. Pour l’authentification multifactorielle, une longueur minimale de huit caractères suffit. La longueur maximale du mot de passe doit être définie selon les contraintes du système utilisé
Éléments d’une politique de mot de passe
Vous trouverez ci-dessous plusieurs éléments clés à inclure dans une politique de mot de passe.
- Une interdiction de partager les mots de passe
- Des critères pour un mot de passe acceptable (par exemple, la longueur, la complexité et les exclusions)
- Des limitations sur la réutilisation des mots de passe
- Un nombre de tentatives de connexion infructueuses autorisées et les procédures de verrouillage correspondantes
- Des paramètres pour une robustesse acceptable des mots de passe
- Des lignes directrices et exigences en matière de stockage des mots de passe
- Une procédure de modification d’un mot de passe
- Des exigences pour l’authentification multifactorielle (MFA)
- Des règles d’expiration et de réinitialisation des mots de passe
Meilleures pratiques en matière de politique de mot de passe en entreprise
Vous trouverez ci-dessous les meilleures pratiques essentielles à l’élaboration d’une politique de mot de passe.
Faire appliquer la politique de mot de passe
Utilisez des systèmes automatisés pour appliquer la politique de mot de passe et procédez à des audits aléatoires pour confirmer que les utilisateurs respectent les règles qui ne peuvent pas être automatisées.
Maintenir la politique de mot de passe à jour
La politique de mot de passe doit être revue régulièrement pour rester alignée sur les meilleures pratiques et technologies disponibles. Cette mise à jour garantit une protection optimale et l’intégration des innovations les plus récentes en matière de sécurité.
Exiger l’utilisation de mots de passe forts et de protocoles d’utilisation
Pour empêcher les utilisateurs non autorisés de deviner les mots de passe, il convient de suivre les lignes directrices suivantes.
- Modifier les mots de passe en cas de compromission.
- Vérifier les mots de passe proposés par les utilisateurs en les comparant à une liste de mots de passe couramment utilisés, attendus ou compromis.
- Demander aux utilisateurs de ne jamais partager leurs mots de passe.
- Crypter les mots de passe stockés.
- Si des phrases de passe sont utilisées, elles doivent être composées d’au moins trois mots du dictionnaire associés à des caractères non alphabétiques (par exemple, Party-1999@Lake!bLue).
- Implémenter l’authentification multifactorielle (MFA).
- Passwords must:
- contenir au moins huit caractères alphanumériques.
- contenir au moins un caractère alphabétique majuscule et au moins un caractère alphabétique minuscule.
- contenir au moins deux caractères non alphabétiques et au moins trois caractères alphabétiques.
- ne pas contenir d’informations personnelles faciles à deviner ou à obtenir, telles que les noms des membres de la famille ou des animaux domestiques.
- Les mots de passe ne doivent pas être réutilisés.
Utiliser les tests de pénétration
Adoptez une approche proactive de la sécurité et faites appel à des hackers éthiques pour sonder les systèmes et tester les utilisateurs afin d’identifier le respect de la politique en matière de mots de passe et d’autres lacunes de sécurité.
FAQ sur la politique de mot de passe
Les questions les plus fréquemment posées sur la politique de mot de passe sont les suivantes.
Quels sont les types de problèmes auxquels l’entreprise est confrontée lorsque des problèmes de mot de passe surviennent ?
Le non-respect de la politique de mot de passe entraîne un certain nombre de problèmes. Les trois problèmes les plus graves sont les suivants :
- Les violations de données
- Les défauts de conformité et sanctions
- Les accès non autorisés aux systèmes et autres actifs
Qu’est-ce qu’une politique de mot de passe d’entreprise ?
Une politique de mot de passe d’entreprise utilise les meilleures pratiques et les normes d’une manière qui correspond aux exigences internes spécifiques en matière de flux de travail, de sécurité et de conformité.
Comment la politique de mot de passe de l’entreprise doit-elle être communiquée ?
Tous les utilisateurs qui accèdent aux ressources de l’entreprise doivent connaître et comprendre la politique de mot de passe de l’entreprise. Cette politique doit être communiquée de plusieurs manières, notamment :
- Le manuel de l’employé
- L’intégration dans l’entreprise
- La formation à la sécurité
- Des invites du système lors de l’accès aux actifs
- Les mises à jour et rappels par les équipes de sécurité et d’informatique
L’application de la politique de mot de passe est une première ligne de cyberdéfense essentielle
Appliquer les meilleures pratiques et normes de mot de passe peut éliminer un vecteur d’attaque fréquemment exploité. Mettre en place des formations et des garde-fous aide les utilisateurs à respecter les règles de procédure et la politique de mot de passe. Cela réduit les vulnérabilités et protège les actifs sensibles contre les accès non autorisés.
