L’Institut national des normes et de la technologie (NIST), l’organisme fédéral qui établit les normes technologiques pour les agences gouvernementales, les organismes de normalisation et les entreprises privées, a proposé d’interdire certaines des exigences de mot de passe les plus embêtantes et non sensées. En tête de liste : les réinitialisations obligatoires, l’utilisation obligatoire ou restreinte de certains caractères, et l’utilisation de questions de sécurité. Choisir des mots de passe forts et les stocker de manière sécurisée est l’une des parties les plus difficiles d’un bon régime de cybersécurité. Encore plus difficile est de se conformer aux règles de mot de passe imposées par les employeurs, les agences fédérales et les fournisseurs de services en ligne. Souvent, ces règles – censées améliorer l’hygiène de la sécurité – la compromettent en réalité. Et pourtant, les législateurs anonymes imposent quand même les exigences. La semaine dernière, le NIST a publié son deuxième projet de SP 800-63-4, la dernière version de ses Lignes directrices sur l’identité numérique. Avec environ 35 000 mots et rempli de jargon et de termes bureaucratiques, le document est presque impossible à lire en entier et tout aussi difficile à comprendre pleinement. Il établit à la fois les exigences techniques et les meilleures pratiques recommandées pour déterminer la validité des méthodes utilisées pour authentifier les identités numériques en ligne. Les organisations qui interagissent en ligne avec le gouvernement fédéral doivent être en conformité. Une section consacrée aux mots de passe injecte une grande dose de bon sens si nécessaire qui remet en question les politiques courantes. Par exemple : les nouvelles règles interdisent l’exigence pour les utilisateurs finaux de changer périodiquement leurs mots de passe. Cette exigence a été mise en place il y a des décennies quand la sécurité des mots de passe était mal comprise, et il était courant que les gens choisissent des noms communs, des mots du dictionnaire, et d’autres secrets faciles à deviner. Depuis lors, la plupart des services exigent l’utilisation de mots de passe plus solides composés de caractères ou de phrases générés aléatoirement. Lorsque les mots de passe sont choisis correctement, l’exigence de les changer périodiquement, généralement tous les un à trois mois, peut en réalité diminuer la sécurité car le fardeau supplémentaire incite à des mots de passe plus faibles qui sont plus faciles pour les gens à définir et à mémoriser.
‘Entretien avec le Luddite’
Kelly : Mis à part l’incendie criminel et beaucoup de vandalisme, qu’ont accompli les Luddites à long terme ? Sale
