Windows 10 version 1903 désapprouve les stratégies d'expiration des mots de passe

Pourquoi supprimons-nous les politiques d'expiration des mots de passe ?

Tout d'abord, pour tenter d'éviter d'inévitables malentendus, nous ne parlons ici que de supprimer politiques d'expiration du mot de passe - nous ne proposons pas de modifier les exigences pour la longueur minimale du mot de passe, l'histoire ou la complexité.

L'expiration périodique du mot de passe est une défense uniquement contre la probabilité qu'un mot de passe (ou hachage) soit volé pendant son intervalle de validité et soit utilisé par une entité non autorisée. Si un mot de passe n'est jamais volé, il n'est pas nécessaire de l'expirer. Et si vous avez la preuve qu'un mot de passe a été volé, vous agirez probablement immédiatement plutôt que d'attendre l'expiration pour résoudre le problème.

S'il est évident qu'un mot de passe est susceptible d'être volé, combien de jours est une durée acceptable pour continuer à permettre au voleur d'utiliser ce mot de passe volé? La valeur par défaut de Windows est de 42 jours. Cela ne semble-t-il pas ridiculement long? Eh bien, c'est le cas, et pourtant notre ligne de base actuelle dit 60 jours – et autrefois 90 jours – car forcer une expiration fréquente introduit ses propres problèmes. Et si ce n'est pas une donnée que les mots de passe seront volés, vous acquérez ces problèmes sans aucun avantage. De plus, si vos utilisateurs sont du genre à vouloir répondre à des sondages dans le parking qui échangent une barre chocolatée contre leurs mots de passe, aucune politique d'expiration des mots de passe ne vous aidera.

Nos références sont conçues pour être utilisables avec un minimum de modifications, voire aucune, par la plupart des entreprises bien gérées et soucieuses de la sécurité. Ils sont également destinés à servir de guide aux auditeurs. Alors, quelle devrait être la période d'expiration recommandée? Si une organisation a mis en place avec succès des listes de mots de passe interdits, une authentification multifacteur, la détection de les attaques par devinette de mot de passe et la détection des tentatives de connexion anormales, ont-elles besoin d'un mot de passe périodique expiration? Et s'ils n'ont pas mis en place de mesures d'atténuation modernes, quelle protection bénéficieront-ils réellement de l'expiration du mot de passe ?

Les résultats des analyses de conformité de base sont généralement mesurés par le nombre de paramètres non conformes: « combien de rouge avons-nous sur la carte? » Il n'est pas rare que les organisations, lors d'un audit, considèrent les chiffres de conformité comme plus importants que ceux du monde réel. Sécurité. Si une ligne de base recommande 60 jours et qu'une organisation avec des protections avancées opte pour 365 jours - ou pas d'expiration pas du tout - ils seront sonnés dans un audit inutilement et pourraient être obligés de respecter le délai de 60 jours recommandation.

L'expiration périodique des mots de passe est une atténuation ancienne et obsolète de très faible valeur, et nous ne pensons pas qu'il soit utile que notre base de référence applique une valeur spécifique. En le supprimant de notre référence plutôt que de recommander une valeur particulière ou aucune expiration, les organisations peuvent choisir ce qui convient le mieux à leurs besoins perçus sans contredire nos conseils. Dans le même temps, nous devons réitérer que nous recommandons fortement des protections supplémentaires même si elles ne peuvent pas être exprimées dans nos lignes de base.