À quelle fréquence dois-je changer mes mots de passe
J'utilise un gestionnaire de mots de passe et j'ai optimisé tous mes mots de passe afin qu'ils soient complexes, longs et uniques.
Je me demande s'il existe des lignes directrices pour savoir si je dois quand même changer mes mots de passe de temps en temps et si oui, à quelle fréquence.
Dans les nouvelles directives du NIST (US National Institute of Standards and Technology), il y a maintenant des renversements plutôt surprenants des directives sur plusieurs domaines de la gestion des mots de passe. Selon cela article du blog Sophos Naked Security , le vieillissement automatique ou périodique des mots de passe n'est plus recommandé par les nouvelles directives; l'article dit plutôt:
La seule fois où les mots de passe doivent être réinitialisés, c'est lorsqu'ils sont oubliés, s'ils ont été hameçonnés ou si vous pensez (ou savez) que votre base de données de mots de passe a été volée et pourrait donc être soumise à une attaque par force brute hors ligne.
La seule autre raison de modifier les mots de passe selon un calendrier est de se conformer à des politiques obsolètes qui résistent au changement, telles que les exigences PCI DSS concernant les mots de passe:
8.2.4 Modifier les mots de passe/phrases de passe des utilisateurs au moins une fois tous les 90 jours.
Ce n'est pas un problème de sécurité mais un problème de conformité. Face à un règlement qui a essentiellement force de loi, le respect doit malheureusement l'emporter sur la sécurité.
Publication spéciale NIST 800-63b: directives d'authentification numérique
Les vérificateurs NE DEVRAIENT PAS exiger que les secrets mémorisés soient modifiés arbitrairement (par exemple, périodiquement). Cependant, les vérificateurs DOIVENT forcer un changement s'il y a des preuves de compromission de l'authentificateur.
Directives officielles du NCSC:
Le NCSC recommande désormais aux organisations de ne pas forcer l'expiration régulière des mots de passe. Nous pensons que cela réduit les vulnérabilités associées aux mots de passe expirant régulièrement (décrits ci-dessus) tout en faisant peu pour augmenter le risque d'exploitation à long terme des mots de passe.
Le problème n'est pas de conserver les mots de passe pendant longtemps, mais plutôt les faiblesses introduites lors de la création de nouveaux. Donc, si vous utilisez une méthode aléatoire de génération de mot de passe, vous pourriez bénéficier de l'actualisation périodique des mots de passe.
Mais il n'y a pas de directives officielles sur la fréquence à laquelle cela devrait être lorsque vous créez des mots de passe extrêmement complexes, car les risques sont tout simplement trop faibles. Lorsque vous ajoutez 2FA, les risques sont encore plus faibles.
Les directives dont vous avez besoin sont alors basées sur les risques que vous identifiez . Si vous pensez que le service que vous authentifiez pour stocker les mots de passe en texte brut, est souvent piraté et stocke des données qui sont essentielles pour vous, alors vous voudrez peut-être changer vos mots de passe assez souvent, quoi que disent les instructions officielles.