Généralités
Le terme « politique de mots de passe » désigne un peu pompeusement les règles de base que les mots de passe doivent respecter. « Durcir » un mot de passe, c’est lui appliquer ces règles. Le paramétrage de ces règles est plus souvent basé sur un usage généralisé et accepté, plutôt que sur une réflexion précise au sujet du contexte réel dans lequel ces mots de passe seront utilisés.
Voici les principales règles constatées.
- Complexité : la longueur minimale généralement acceptée pour un mot de passe utilisateur est de huit caractères. Il doit combiner des chiffres, des lettres majuscules, des lettres minuscules, voire des caractères spéciaux. Il est convenu que la longueur du mot de passe soit plus longue pour les comptes donnant accès à des droits d’administration.
- Verrouillage : une fonctionnalité peut bloquer le compte au bout de n tentatives infructueuses. Le but est d’éviter les attaques interactives par des automates. La valeur généralement admise est entre trois et cinq tentatives avant le blocage. En cas de verrouillage, ce dernier peut durer entre cinq minutes et un quart d’heure.
- Historique : certains systèmes empêchent de choisir un mot de passe déjà utilisé par le passé. Le nombre d’anciens mots de passe mémorisés (et donc impossibles à réutiliser) est souvent compris entre trois et dix.
- Durée de vie : l’usage veut que les mots de passe soient renouvelés régulièrement. Leur durée de vie maximale est généralement de 90 jours. Certains systèmes imposent même une durée de vie minimale dans le but d’éviter que les utilisateurs changent successivement leurs mots de passe jusqu’à récupérer celui qu’ils utilisent habituellement.
L’impossible sécurisation des mots de passe
Les paramètres présentés précédemment sont tellement admis que le RSSI ne prendra aucun risque en les appliquant dans son SI. Les différents auditeurs SOX et autres commissaires aux comptes qui viendront le contrôler n’y verront rien à redire. Ils encouragent même très officiellement leurs audités à appliquer cette politique. Pourtant, l’expérience suivante devrait donner à réfléchir.