La proposition de normes du NIST vise à éliminer les exigences d'authentification obsolètes telles que la réinitialisation forcée des mots de passe.

Quoi de plus ennuyeux que de changer régulièrement son mot de passe ? Par exemple, si vous travaillez pour une entreprise américaine, celle-ci vous demande de changer votre mot de passe tous les trois mois. En outre, ils réglementent également ce que votre mot de passe peut et ne peut pas contenir. Le régulateur des normes a maintenant déclaré que la plupart des règles relatives aux bons sont obsolètes et inutiles.

Le National Institute of Standards and Technology (NIST) a proposé une nouvelle norme de certification qu'il espère adopter. Une deuxième version de la publication spéciale 800-63-4 a été publiée sur le site Web du NIST, dans l'attente des commentaires du public sur le mot de passe proposé et les directives d'authentification.

Le schéma standard est concis et précis, mais il va à l’encontre des régimes de cryptographie ennuyeux adoptés par de nombreuses entreprises et institutions. Certains exemples incluent la réinitialisation forcée du mot de passe, la limitation de l'utilisation des caractères, l'exigence de combinaisons de caractères spécifiques et l'utilisation de questions de sécurité. Ces exigences sont largement inutiles. Il s’agit d’une relique obsolète d’une époque où Internet était nouveau et où la plupart des gens ne comprenaient pas les règles d’hygiène appropriées.

Comme le souligne Microsoft dans son Security Baseline 2019, bon nombre de ces règles encouragent en réalité de mauvaises habitudes en matière de sécurité. Par exemple, exiger des employés qu’ils changent fréquemment leurs mots de passe les encourage à utiliser des mots de passe plus faibles, plus faciles à mémoriser ou à créer, et donc plus faciles à déchiffrer. La Commission fédérale du commerce des États-Unis est d’accord.

Il en va de même pour les règles qui nécessitent des caractères spécifiques, telles que « Les mots de passe doivent contenir au moins huit caractères, dont au moins une lettre majuscule et minuscule, un symbole spécial (tel que la ponctuation) et au moins un chiffre ». Ces restrictions strictes conduisent souvent les gens à utiliser des mots de passe comme BigToe@1 (un ancien collègue a effectivement utilisé ce mot de passe).

Même si tout le monde est libre de lire et de commenter le SP800-63-4, il s'agit d'une lecture difficile en raison de tout le jargon bureaucratique et des longues explications. L'organisation estime nécessaire d'avoir une section définissant la signification de « doit, ne doit pas », « doit », « ne devrait pas » et d'autres termes simples. Le document se résume essentiellement à neuf exigences et recommandations.

Validateur de mot de passe ou fournisseur de services de vérification :

Les mots de passe doivent comporter au moins 8 caractères, mais doivent comporter au moins 15 caractères.

Une longueur maximale de mot de passe d'au moins 64 caractères doit être autorisée.

Tous les caractères ASCII et espaces doivent être autorisés dans les mots de passe.

Les caractères Unicode dans les mots de passe doivent être acceptés. Lors de l'évaluation de la longueur du mot de passe, chaque point de code Unicode doit être compté pour un caractère.

Aucune autre règle de composition ne peut être imposée aux mots de passe (par exemple exiger un mélange de différents types de caractères).

Les utilisateurs ne doivent pas être obligés de modifier régulièrement leur mot de passe. Cependant, s'il existe des preuves que le validateur a été compromis, le vérificateur doit forcer un changement de mot de passe.

Les utilisateurs ne doivent pas être autorisés à stocker des conseils accessibles aux candidats non certifiés.

Les utilisateurs ne doivent pas être invités à utiliser l'authentification basée sur les connaissances (KBA) (telle que « Quel était le nom de votre premier animal ? ») ou à poser des questions de sécurité lors de la sélection d'un mot de passe.

L'intégralité du mot de passe soumis doit être vérifiée (c'est-à-dire que le mot de passe n'est pas tronqué).

La règle huit est parfaitement logique compte tenu de l'hypothèse farfelue selon laquelle il n'y a aucun moyen pour un pirate informatique de connaître ou de comprendre la mascotte du lycée ou le nom de jeune fille de la cible. Cependant, la règle sept semble être une « auto-contradiction ». Vous ne verrez l'invite de mot de passe que si vous êtes authentifié, mais si vous ne vous souvenez pas de votre mot de passe sans l'invite de mot de passe, vous ne pourrez pas vous authentifier. Sinon, ces lignes directrices semblent relever du bon sens, ce qui, à mon avis, fait généralement défaut.

Le NIST gère les normes au sein du gouvernement et n'a aucun pouvoir d'application sur les entreprises privées. Par exemple, il garantit que toutes les bouches d'incendie utilisent des raccords standardisés et fournissent la même quantité d'eau, peu importe où elles vont, tout en garantissant des normes d'entretien.

De manière générale, seules les agences gouvernementales et les entreprises ou organisations qui traitent directement avec le gouvernement peuvent se conformer à ces règles. Par exemple, l’IRS doit adopter les directives du NIST, mais Meta peut les ignorer. Pourtant, de nombreuses normes du NIST s’appliquent aux organisations privées des secteurs où les règles s’appliquent. Le cadre de cybersécurité du NIST en est un bon exemple.