Que ce soit sur votre réseau de travail ou sur un service en ligne, vous avez peut-être déjà eu à changer un mot de passe qui a expiré. Récemment, Microsoft a conclu que cette politique de sécurité était peu ou pas efficace, et a donc décidé de ne pas conserver cette recommandation pour Windows 10 et Server.
L’expiration des mots de passe est une recommandation ancienne et assez courante, surtout dans le milieu des entreprises. Le principe de base est d’empêcher qu’un compte continue d’être discrètement accessible à un attaquant qui a, d’une manière ou d’une autre, découvert les données de connexion de l’utilisateur.
Aaron Margosis, expert en sécurité de Microsoft, explique que l’expiration n’est qu’un moyen de défense contre la probabilité qu’un mot de passe soit saisi pendant sa période de validité (souvent trois mois).
Toutefois, si la combinaison n’a jamais été découverte, il n’y a aucune raison de la changer, car au lieu d’attendre l’expiration, l’utilisateur doit changer le mot de passe immédiatement s’il découvre ou soupçonne qu’il a été capturé par un tiers.
Margosis souligne une autre raison pour laquelle cette politique est remise en question : il est généralement difficile de mémoriser des mots de passe forts, et si vous devez les changer fréquemment, vous appliquerez des changements subtils ou prévisibles pour diminuer vos chances de les oublier.
En outre, Margosis implique dans la déclaration de Microsoft que si vous ne prenez pas soin de protéger vos données de connexion, aucune politique d’expiration ne peut vous aider.
C’est pourquoi Microsoft propose de supprimer la politique d’expiration périodique des mots de passe. La société recommande plutôt des mesures plus efficaces, comme l’authentification à facteurs multiples ou la mise en place de listes de mots de passe interdits (comme la protection par mot de passe Azure AD).
Microsoft souligne qu’il supprime la politique d’expiration de sa base de sécurité pour Windows 10 et Server, mais que les administrateurs peuvent encore la mettre en œuvre. Les recommandations relatives à l’exigence de mots de passe forts (avec une longueur de caractères minimale et l’utilisation de symboles spéciaux, par exemple) restent valables.