Windows 10 ne forcera plus à changer régulièrement de mot de passe
Microsoft retire l’expiration périodique de mot de passe des paramètres de sécurité de base de la prochaine version de Windows 10. Selon la firme, ce paramètre est désuet et des mesures alternatives plus sûres sont à privilégier.
La mise à jour majeure de mai de Windows 10 devrait mettre fin à l’obligation de changer régulièrement de mot de passe tous les 60 jours. Microsoft a en effet retiré cette fonction, qui s’adresse aux entreprises, de la version préliminaire des paramètres de base de la configuration de sécurité de la prochaine mouture de Windows 10 (la version 1903).
La firme de Redmond qualifie de désuète l’expiration périodique des mots de passe. «En retirant [ce paramètre] de notre base de référence plutôt que de recommander une valeur particulière ou l'absence d'expiration, les organisations peuvent choisir ce qui convient le mieux à leurs besoins perçus sans contredire nos directives», précise dans un billet de blog Aaron Margosis, consultant chez Microsoft.
Un paramètre superflu
Demander aux utilisateurs de changer régulièrement leur mot de passe peut en effet s’avérer une mesure contre-productive, selon Microsoft. Les utilisateurs se contentent par exemple d’appliquer de petites modifications à leur mot de passe existant ou ont tendance à noter et sauver quelque part, de manière non sécurisée, chaque nouveau mot de passe. La firme de Redmond souligne qu’il existe des alternatives plus sûres à l’expiration de mot de passe. Dont celles de bannir le choix de mots de passe insuffisamment sûrs et d’activer l'authentification multifactorielle. Si une entreprise met bien place ces dernières mesures, en parallèle à des outils de détection de connexions anormales et d’attaques consistant à deviner les mots de passe, l’expiration périodique des mots de passe s'avère superflue, se justifie Microsoft. Qui ne mentionne pas d’autres alternatives au mot de passe, telle que la technologie d'authentification WebAuthn donnant la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles et les clés de sécurité approuvées (Les services web n’ont plus de raison d’exiger un mot de passe).
L'expiration de mot de passe reste paramétrable en option
«L'expiration périodique du mot de passe est une défense contre la probabilité qu'un mot de passe (ou hachage) soit volé pendant son intervalle de validité et soit utilisé par une entité non autorisée. Si un mot de passe n'est jamais volé, il n'est pas nécessaire de le faire expirer. Et si vous avez la preuve qu'un mot de passe a été volé, vous agiriez probablement immédiatement plutôt que d'attendre son expiration pour régler le problème», argumente encore l’éditeur de Windows.Qui tient à préciser que si l'expiration de mot de passe ne sera plus par défaut dans la configuration de sécurité de base de Windows 10, les entreprises auront toujours l’option de l'activer.
