Une partie du document rappelle les recommandations régulièrement formulées concernant la gestion des mots de passe, parmi lesquelles on peut citer :
- avoir des mots de passe uniques par application (Active Directory, messagerie, etc.) et par usage (professionnel, personnel) ;
- imposer une longueur minimale (8 caractères sont recommandés) ;
- éviter l'utilisation de mots de passe prédictibles (mots de passe communs ou par défaut, reprise du nom ou de la date de naissance, etc.) ;
- sécuriser l'environnement (mise à jour des systèmes et des programmes, sensibilisation des utilisateurs au phishing, etc.).
En plus de ces recommandations de base, le document décrit des recommandations plus avancées et plus rarement mises en œuvre :
- mettre en place une authentification multifacteur (appelée également MFA pour multifactor authentication) ;
- mettre en place une surveillance afin d'être en capacité à détecter une utilisation frauduleuse des mots de passe :
- attaque distante en force brute,
- changement de l'origine de l'authentification (détection d'authentification depuis un autre système, etc.),
- horaires suspects (nuit, week-end).
Le document aborde enfin plusieurs erreurs régulièrement commises dans la gestion des mots de passe et couramment reprises dans des PSSI. Ces erreurs prennent la forme de recommandations contraignantes alors qu'elles n'apportent pas de réel gain de sécurité. Ces erreurs sont :
- exiger des mots de passe très longs (plus de 12 caractères) : si une telle mesure est imposée, il est difficile pour un utilisateur de retenir son mot de passe si celui-ci est vraiment aléatoire. Le mot de passe prend alors la forme d'une succession de mots plus ou moins prévisible (t5f75dzp est un meilleur mot de passe que monbeausoleil) ;
- exiger l'utilisation de caractères spéciaux : lorsqu'un utilisateur doit utiliser des caractères spéciaux, il se contente, le plus souvent, de substituer les chiffres et les lettres par des caractères spéciaux avec un procédé plus ou moins prédictible (a remplacé par @, s par $, 1 par !, etc.) ;
NB : Les esprits plus matheux font d'ailleurs souvent remarquer qu'imposer une classe de caractères obligatoires réduit l'espace possible des mots de passe, ce qui est contre-intuitif.
- imposer un renouvellement trop fréquent des mots de passe (par exemple tous les 2 mois) : le risque, lorsqu'un utilisateur doit renouveler trop souvent son mot de passe, est de voir apparaître un compteur dans le mot de passe. Ainsi, en connaissant les anciens mots de passe, il devient très aisé de deviner celui en cours (exemple : feEgIsR#c1, feEgIsR#c2, feEgIsR#c3, etc.).
On peut également ajouter la mesure consistant à verrouiller automatiquement un compte utilisateur suite à un nombre trop élevé de tentatives d'authentification distante avec un mot de passe erroné. Si cette mesure permet d'éviter les attaques en force brute, elle permet également de réaliser facilement un déni de service. Cette mesure, généralement appliquée dans les annuaires Active Directory, peut être la cause d'un déni de service complet et facilement réalisable par un attaquant. Voir l'article...