Mythe de sécurité #3: Le changement régulier des mots de passe durci les systèmes de mot de passe
Comme j’ai abordé dans un billet précédant (Gestion des mots de passe… Nouveau genre!), l’obligation de changer les mots de passe n’apporte pas une valeur ajoutée aux systèmes de sécurité. Personne n’a été en mesure de savoir d’où vient cette pratique et pourquoi elle existe. Cette pratique s’est incrustée dans les grands cadres normatifs en sécurité (ISO27k). Plusieurs recherches ont montré qu’il n’existe pas de corrélation entre la rotation et la sécurité. Une authentification deux facteurs aura toujours une plus grande force qu’un seul mot de passe. À cela, il faut considérer que l’ajout d’un deuxième facteur permet de réduire les exigences de complexités et longueurs qui sont associées à un mot de passe. L’exemple que nous avons dans notre quotidien est la carte bancaire, qui dispose d’un NIP qui selon les standards de mot de passe que nous utilisons en entreprise pourrait être qualifié de faible. Comme la carte à puce n’est pas facilement clonable avec les techniques actuelles, la seule connaissance du NIP ne permet pas grand-chose.
Alors, une meilleure utilisation de l’authentification à deux facteurs viendrait atténuer la douleur que les utilisateurs éprouvent face à la gestion de leur mot de passe. Sur le web, il y a des efforts notables de la part de Google (one time password) et Facebook (un avertissement lorsqu’un nouvel ordinateur essaie de se brancher et un deuxième facteur par l’envoi d’un SMS). En entreprise, nous sommes pris avec les jetons de type SecurID et dans certains cas des cartes à puce avec des certificats X.509. En raison des considérations de couts et complexité de déploiement, ces approches ne sont pas très répandues.