Faut-il changer ses mots de passe fréquemment ?

Le 19/05/2017 Patrick a écrit :

Bonjour,
On m'a dit qu'il fallait changer ses mots de passe fréquemment.
Qu'en pensez-vous ?

Bonjour Patrick et merci pour cette question que beaucoup de personnes se posent.

Je suis assez critique sur l'idée reçue qu'il serait nécessaire de modifier fréquemment les mots de passe. Mon jugement repose d'une part sur mon expérience auprès du grand public (interventions à domicile), d'autre part sur mon expérience en entreprises dans lesquelles les mots de passe des utilisateurs non administrateurs ne brillent pas par leurs complexité, et enfin sur ma lecture attentive de l'actualité sécuritaire informatique.

J'explique mon point de vue ci-dessous, en complément de ma page "Mots de passe".

Médéric 20/05/2017

EDIT du 10/08/2017 :
Mes conseils sur la création de bons mots de passe sont confirmés par la confession de Bill Burr. Après avoir mis au point les bonnes pratiques de création de mots de passe en 2003, ce spécialiste vient à 72 ans, d'avouer qu'il avait accompli son travail dans la hâte et la précipitation, et regrette tous ses écrits :

En 2003, Bill Burr conseillait dans une annexe d'un document publié par le National Institute of Standards and Technology (agence américaine notamment chargée de développer des normes technologiques) de créer un mot de passe contenant majuscules, minuscules, chiffres et signes de ponctuation et d’en changer régulièrement (tous les 90 jours).
Quatorze ans après avoir publié ce qui était considéré comme la bible de la création de mots de passe, l’auteur du document révise sa position dans une interview au Wall Street Journal.

Lire la suite : Article "Pourquoi votre mot de passe n'est pas aussi sécurisé que vous le pensez". Cécile Bolesse, 08/08/2017, 01net.com

Médéric 10/08/2017

Cinq remarques sur l'injonction de modifier fréquemment les mots de passe

  1. Un mot de passe doit être modifié d'autant plus fréquemment qu'il est facile à trouver
    C'est un conseil de bon sens qui repose sur la probabilité.

    Petite expérience de pensée :
    Je commence par attribuer à un compte en ligne le mot de passe 123456. Mais la probabilité que celui-ci soit trouvé très rapidement est très importante (elle est considérable). Je décide donc de le modifier le plus tôt possible c'est à dire immédiatement en le remplaçant par 132465. Mais la probabilité que ce nouveau mot de passe soit trouvé très rapidement par des outils informatiques simples est encore très importante. Je décide donc de modifier ce mot de passe pour la troisième fois en moins de 5 minutes, mais cette fois-ci, en le complexifiant de manière à ce que la probabilité de sa découverte étant plus faible, je puisse m'abstenir de le modifier pendant une plus grande période (par exemple le mot de passe r3E%_-gT^k)
  2. Il vaut mieux se concentrer sur la qualité du mot de passe et le changer moins souvent plutôt que négliger sa qualité et le changer fréquemment :

    (Rappel : tous les comptes en ligne doivent impérativement posséder des mots de passe différents les uns des autres)

    La robustesse du mot de passe est particulièrement importante :
    • Pour les comptes en ligne qui permettent d'effectuer des transactions monétaires (banques, PayPal, etc.)
    • Pour les comptes administratifs en ligne qui permettent de télécharger une pièce officielle servant à prouver une identité (EDF, Engie, etc.)
    • Pour les comptes mail principaux qui servent à réinitialiser les mots de passe des comptes en lignes lorsque ceux-ci sont oubliés
  3. Un compte en ligne auquel on accède sous HTTPS avec un mot de passe alphanumérique de 20 caractères dont aucune partie ne figure dans un dictionnaire n'a pas besoin d'être modifié fréquemment :

    (2e rappel : tous les comptes en ligne doivent impérativement posséder des mots de passe différents les uns des autres)

    Compte-tenu de la puissance actuelle des ordinateurs, je pense qu'un mot de passe robuste devrait idéalement comporter 40 caractères1) générés aléatoirement par un gestionnaire de mot de passe comme KeePass (KeePassX sous GNU/Linux) dont la base de données est stockée exclusivement sur l'ordinateur de l'utilisateur
  4. Les personnes qui professent le changement fréquent des mots de passe ne suivent pas cette règle puisqu'elles ne modifient pas régulièrement la totalités de leurs mots de passe :
    Une telle entreprise constituerait un travail harassant dans le cas par exemple du changement des mots de passe de 20 comptes en ligne tous les 2 mois (la plupart des internautes possèdent au-moins 20 comptes en ligne). Une personne qui posséderait 50 comptes en ligne passerait un temps considérable tous les 2 mois à changer ses mots de passe

    (3e rappel : tous les comptes en ligne doivent impérativement posséder des mots de passe différents les uns des autres)

    Lire à ce sujet l'article de Michael Guilloux du 04/08/2016 sur developpez.com : "Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés contrairement à ce que l'on croit, révèlent des études"
  5. Il est important de modifier le mot de passe d'un compte en ligne dès que l'on a le moindre doute sur la possibilité d'une compromission :
    • En cas d'infection de l'ordinateur par un logiciel malveillant, il est important de modifier le mot de passe d'un compte en ligne le plus tôt possible depuis un ordinateur sain :
      • Si les symptômes d'infection sont apparus dans la période pendant laquelle on a accédé au compte en ligne
      • Si ce mot de passe était mémorisé par un navigateur web de l'ordinateur ou stocké dans un fichier non verrouillé lui-même par un mot de passe complexe
    • En cas de compromission du service web rendu public dans les médias
      (Cf. exemples emblématiques des piratages de Yahoo!)

Aller plus loin sur les mots de passe

  • wiki.ordi49.fr > Mots de passe : Conseils, méthodes et outils pour créer des mots de passe sécurisés
  • assiste.com > Dossier : Mots de passe (excellent site très complet de Pierre Pinard)
1)
"Beaucoup de personnes que je connais utilisent des mots de passe qui ont entre 20 et 50 caractères. C'est un bon conseil qui rend le piratage peu probable, même dans l'éventualité d'une divulgation du hash du mot de passe." Costin Raiu – Directeur, Global Research & Analysis Team du Kaspersky Lab – dans son article du 21/09/2012 sur securelist.com : "Hotmail: Your Password Was Too Long; We Fixed it For You"