Faut-il changer ses mots de passe fréquemment ?

Le 19/05/2017 Patrick a écrit :

Bonjour,
On m'a dit qu'il fallait changer ses mots de passe fréquemment.
Qu'en pensez-vous ?

Bonjour Patrick et merci pour cette question que beaucoup de personnes se posent.

Je suis assez critique sur l'idée reçue qu'il serait nécessaire de modifier fréquemment les mots de passe. Mon jugement repose d'une part sur mon expérience auprès du grand public (interventions à domicile), d'autre part sur mon expérience en entreprises dans lesquelles les mots de passe des utilisateurs non administrateurs ne brillent pas par leurs complexité, et enfin sur ma lecture de l'actualité sécuritaire informatique.

J'explique mon point de vue ci-dessous, en complément de ma page "Mots de passe".

Médéric 20/05/2017

Cinq remarques sur l'injonction de modifier fréquemment les mots de passe

(Rappel : tous les comptes en ligne doivent impérativement posséder des mots de passe différents les uns des autres)

  1. Un mot de passe doit être modifié d'autant plus fréquemment qu'il est facile à trouver.
    En d'autre termes, la durée maximale de conservation d'un mot de passe pour un compte en ligne, est inversement proportionnelle à la probabilité que ce compte soit compromis
    Explication :
    • Si j'attribue à un compte en ligne le mot de passe 123456, alors la probabilité que ce compte soit rapidement compromis est très élevée, et je suis donc obligé de modifier ce mot de passe immédiatement après l'avoir créé
    • Si j'attribue à un compte en ligne le mot de passe r3%T^k, alors la probabilité que ce compte soit rapidement compromis est moins élevée, mais n'est pas faible non plus, parce que le mot de passe ne comporte que 6 caractères → Je suis donc obligé de modifier ce mot de passe après une période un peu plus longue, qui pourrait être par exemple 24 heures, ou bien 2 semaines si le compte en ligne ne comporte pas de données sensibles ou permettant d'usurper une identité
    • Si j'attribue à un compte en ligne le mot de passe de 50 caractères g#;h-}\w},e:;R"<2J]'o<d`}3_*d)xt\%3{zi2)qa5X&q'i!@, alors la probabilité que ce compte soit rapidement compromis est extrêmement faible → Je suis donc obligé de modifier ce mot de passe après une période assez longue, qui pourrait être par exemple de 5 ans, de 10 ans ou plus.
      Bien-sûr, si l'accès à ce compte en ligne donne de grands pouvoirs, alors je peux me contraindre à le modifier avant 5 ans. Par exemple, si ce compte en ligne possède un enregistrement de ma carte bancaire, il serait incohérent que je mette à jour les données de ma nouvelle carte bancaire suite à l'expiration de l'ancienne (au bout de 3 ans), sans mettre à jour également le mot de passe d'accès à ce compte en ligne
  2. Il vaut mieux se concentrer sur la qualité du mot de passe et le changer moins souvent plutôt que négliger sa qualité et le changer fréquemment.
    La robustesse du mot de passe est particulièrement importante :
    • Pour les comptes en ligne qui permettent d'effectuer des transactions monétaires (banques, PayPal, etc.)
    • Pour les comptes administratifs en ligne qui permettent de télécharger une pièce officielle servant à prouver une identité (EDF, Engie, etc.)
    • Pour les comptes mail principaux qui servent à réinitialiser les mots de passe des comptes en lignes lorsque ceux-ci sont oubliés
  3. Un compte en ligne auquel on accède sous HTTPS avec un mot de passe alphanumérique de 50 caractères dont aucune partie ne figure dans un dictionnaire n'a pas besoin d'être modifié fréquemment.
    Compte-tenu de la puissance actuelle des ordinateurs, je pense qu'un mot de passe robuste devrait idéalement comporter 50 caractères1) générés aléatoirement par un gestionnaire de mot de passe comme KeePassXC
  4. Les personnes qui professent le changement fréquent des mots de passe ne respectent pas la règle impérative de complexité des mots de passe.
    Car une telle entreprise constituerait un travail harassant dans le cas par exemple du changement des mots de passe de 20 comptes en ligne tous les 2 mois (la plupart des internautes qui paient les factures d'un foyer possèdent au-moins 20 comptes en ligne). Une personne qui posséderait 50 comptes en ligne passerait un temps considérable tous les 2 mois à changer ses mots de passe.
    Lire à ce sujet l'article de Michael Guilloux du 04/08/2016 sur developpez.com : "Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés contrairement à ce que l'on croit, révèlent des études"
  5. Il est important de modifier le mot de passe d'un compte en ligne dès que l'on a le moindre doute sur la possibilité d'une compromission de ce compte en ligne (serveur)
  6. En cas d'infection par un logiciel malveillant, de l'appareil numérique (ordinateur, smartphone, tablette) utilisé pour accéder aux comptes en ligne, il est important de modifier les mots de passe de ces comptes en ligne, le plus tôt possible depuis un ordinateur sain

EDIT du 10/08/2017 :
Mes conseils sur la création de bons mots de passe sont confirmés par la confession de Bill Burr, ex directeur de l'Institut national des normes et de la technologie (NIST) des USA. Après avoir mis au point les bonnes pratiques de création de mots de passe en 2003, à 72 ans en 2017, Bill Burr avoue qu'il avait accompli son travail dans la hâte et la précipitation, et regrette tous ses écrits :

En 2003, Bill Burr conseillait dans une annexe d'un document publié par le National Institute of Standards and Technology (agence américaine notamment chargée de développer des normes technologiques) de créer un mot de passe contenant majuscules, minuscules, chiffres et signes de ponctuation et d’en changer régulièrement (tous les 90 jours).
Quatorze ans après avoir publié ce qui était considéré comme la bible de la création de mots de passe, l’auteur du document révise sa position dans une interview au Wall Street Journal.

Lire la suite : Article "Pourquoi votre mot de passe n'est pas aussi sécurisé que vous le pensez". Cécile Bolesse, 08/08/2017, 01net.com

Médéric 10/08/2017

Aller plus loin sur les mots de passe

  • wiki.ordi49.fr > Mots de passe : Conseils, méthodes et outils pour créer des mots de passe sécurisés
  • assiste.com > Dossier : Mots de passe (excellent site très complet de Pierre Pinard)
1)
"Beaucoup de personnes que je connais utilisent des mots de passe qui ont entre 20 et 50 caractères. C'est un bon conseil qui rend le piratage peu probable, même dans l'éventualité d'une divulgation du hash du mot de passe." Costin Raiu – Directeur, Global Research & Analysis Team du Kaspersky Lab – dans son article du 21/09/2012 sur securelist.com : "Hotmail: Your Password Was Too Long; We Fixed it For You"