Je vais vous présenter les raisons qui selon moi justifie le plus souvent l'abandon pur et simple de cette ancienne préconisation du NIST (National Institute of Standard and Technologies). On va revenir rapidement sur cette préconisation, ensuite sur l'état de l'art actuel et mes arguments pour au final rejeter presque systématiquement cette mesure.
Changement périodique de mot de passe ?
Si vous travaillez chez un grand compte, eu des cours d'informatiques ou participé à des sessions de sensibilisation, vous avez surement entendu à un moment qu'il fallait changer vos mots de passe tous les 90 jours. Cette préconisation vient du NIST qui à l'époque avait préconisé un changement systématique des mots de passe tous les 90 jours.
Cette préconisation est encore bien ancrée dans pas mal d'organisation notamment en France. Attention je ne dis pas que ces organisations le font mal, l'idée ici va être d'expliquer que si vous souhaitez appliquer correctement cette ancienne préconisation, vous allez devoir mettre en oeuvre beaucoup de chose.
Aujourd'hui qu'en est-il du changement périodique de mot de passe ?
Pour faire simple le NIST vous recommande dorénavant de ne pas forcer les utilisateurs à modifier un mot de passe de manière périodique et systématique. En effet dans une dernière publication que je vous invite à consulter (en anglais) le NIST dans le paragraphe 5.1.1.2 estime que continuer un changement périodique est une mauvaise idée (cf l'article : https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver). La recommandation n'est plus d'effectuer un changement périodique, mais dès lors que l'on a une suspicion de fuite du mot de passe suite à un piratage ou une erreur de configuration.
Si vous utilisez l'Application Security Verification Standard de l'OWASP le point 2.1.10 est tout aussi sans équivoque :
Verify that there are no periodic credential rotation or password history requirements
Pourquoi imposer un changement périodique de mot de passe est compliqué ?
C'est l'une des raisons pour laquelle le NIST est revenu sur cette préconisation, en étudiant et analysant cette pratique dans plusieurs organisations le constat était le suivant : "le changement periodique à conduit les utilisateurs à faire peut varier leurs mot de passe dans le temps et au final à fragiliser la force de ces derniers".
En effet beaucoup d'utilisateurs se sont contentés d'ajouter des chiffres après leurs mots de passe de base, ce qui va s'en dire est une mauvaise pratique.
En fait si vous souhaitez appliquer correctement cette mesure, vous devrait être capable dans un premier temps de dire que ce mot de passe a déjà été utilisé par vous, ou qu'il est trop proche d'un mot de passe que vous avez déjà utilisé. Et le simple stockage de ces informations pose un souci de sécurité encore plus grand, car pour faire ces détections cela vous obligerait à stocker les mots de passe de manière déchiffrable.
En effet, vous ne devriez plus garder une empreinte du mot de passe, mais bien le mot de passe chiffré ça va de soi. Du coup cela voudrait dire qu'il serait possible en cas de piratage d'une telle base de données et de sa clé de déchiffrement de récupérer quantité de mot de passe en clair.
Pour ces raisons vous l'aurez compris, il est difficile si ce n'est impossible en respectant les standard actuels d'appliquer efficacement cette mesure. En effet sans pouvoir comparer votre nouveau mot de passe avec au moins l'ancien, voir plusieurs anciens, et dire que AZERTY2 et trop similaire de AZERTY1 qui est votre ancien mot de passe ou encore que 123456 et trop similaire à 654321, vous ne pouvez pas efficacement améliorer votre sécurité avec cette préconisation. De même si vous n'êtes pas capable de comparer votre avant dernier mot de passe.
Vous êtes même certainement entrain de fragiliser la sécurisation de vos comptes.
Conclusion
J'espère avoir su mettre en lumière pourquoi cette ancienne recommandation doit disparaître au fur et à mesure de notre paysage de la gestion des mots de passe. Il est important de bien comprendre qu'une telle mesure pour être efficace demanderait de mettre en place des mécaniques à la fois complexe, mais surtout parfois trop dangereuses.
Ceci n'engage que moi et ne fait pas franchement l’unanimité, mais avec le temps ça va progresser !
Edit du 27/10/2021 : Pour renforcer mon propos l'ANSSI à publier une mise à jour importante de ces recommandations relatives à authentifications multifacteur et aux mots de passe. Devinez quoi ? Il recommande aussi de ne plus imposer de changement périodique pour les mots de passe des comptes sans privilège important. Le guide est à retrouver ici : https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/
Crédit photo : Ordinateur vecteur créé par upklyak - fr.freepik.com