Délai d'expiration des mots de passe

Délai d’expiration des mots de passe

Auteur/autrice de la publication :Admin Jurisconforme
Dernière modification de la publication :2023-05-01
Commentaires de la publication :0 commentaire

Un mot de passe peut être plus sécurisé en observant certains réflexes ou méthodes relativement simples pour se protéger des dangers liés à l’usage d’un mot de passe non sécurisé. Parmi, ces bonnes pratiques, le délai d’expiration fixe du mot de passe connaît des évolutions ces dernières années.

En effet, fixer un délai d’expiration sur des moyens d’authentification est une bonne mesure en général mais s’avère souvent contre-productif dans le cas des mots de passe.

L’ANSSI précise qu’en imposant un délai d’expiration trop réduit sur les mots de passe, les utilisateurs ont tendance à créer des itérations sur leurs mots de passe (par exemple rajouter « +1 » sur un nombre contenu dans le mot de passe comme Toto1, Toto2, etc.) ou à créer des liens logiques triviaux entre les différents mots de passe.

Toutefois, une distinction peut être faite en fonction de la sensibilité du compte concerné. Notamment, les comptes dits à privilèges qui sont très sensibles (c’est-à-dire les comptes disposant de droits élevés sur le système d’information comme un compte administrateur) et les comptes sans privilège particulier qui sont peu sensibles (comme les comptes utilisateur).

Le délai d’expiration des comptes peu sensibles ne doit pas être trop court (3 à 6 mois par exemple). Un délai plus long d’au moins 1 an pourrait s’avérer plus efficace pour les comptes peu sensibles. En revanche, pour les comptes très sensibles comme les comptes à privilèges, conserver un délai d’expiration court des mots de passe reste une bonne mesure à mettre en œuvre.

Mesures complémentaires en cas d’incidents de sécurité

Il est à noter qu’en cas d’incidents de sécurité, de compromission suspectée ou avérée d’un système d’authentification, tous les mots de passe, sensibles ou non, concernés par ce système doivent être renouvelés immédiatement (de l’ordre de la journée). Au-delà de ce délai, les comptes concernés doivent être désactivés et une procédure de réactivation pour les utilisateurs doit être mise en œuvre.

Auteur:

STEPHANE KOUAKOU-KAN JURISTE EN CONFORMITE

Stéphane KOUAKOU-KAN, Juriste en conformité, spécialisé en Numérique, en Gouvernance des données, en lutte contre le blanchiment des capitaux et le financement du terrorisme.

Pour aller plus loin

Recommandations relatives à l’authentification multifacteur et aux mots de passe, ANSSI
Axes indispensables de la politique de sécurité des mots de passe
Naviguer avec prudence et vigilance sur Internet

**Nombre de vue: 367

Laisser un commentaire Annuler la réponse

Vous devez être connecté pour publier un commentaire.

Partage sur les réseaux sociaux Partager ce contenu

Mesures complémentaires en cas d’incidents de sécurité

Partage sur les réseaux sociaux Partager ce contenu

Vous devriez également aimer

Laisser un commentaire Annuler la réponse

Partager ce contenu

Partager ce contenu