L'un des conseils les plus courants en matière de sécurité des comptes est que les utilisateurs doivent changer régulièrement leurs mots de passe. Le raisonnement derrière cette approche est de minimiser la durée de validité d'un mot de passe, au cas où il serait compromis. Toute cette stratégie est basée sur les conseils historiques des meilleurs groupes de cybersécurité tels que le NIST américain ou le National Institute of Standards and Technology.
Pendant des décennies, les gouvernements et les entreprises ont suivi ce conseil et forcé leurs utilisateurs à réinitialiser régulièrement les mots de passe, généralement tous les 90 jours. Au fil du temps, cependant, les recherches ont montré que cette approche ne fonctionnait pas comme prévu et en 2017, le NIST et le NCSC du Royaume-Uni , ou National Cyber Security Centre, ont modifié leur avis pour n'exiger des changements de mot de passe que lorsqu'il existe un soupçon raisonnable de compromission.
Le conseil de changer régulièrement les mots de passe a été initialement mis en œuvre pour aider à augmenter la sécurité. D'un point de vue purement logique, le conseil d'actualiser régulièrement les mots de passe est logique. L'expérience du monde réel est cependant légèrement différente. La recherche a montré que forcer les utilisateurs à changer régulièrement leurs mots de passe les rendait beaucoup plus susceptibles de commencer à utiliser un mot de passe similaire qu'ils pouvaient simplement incrémenter. Par exemple, plutôt que de choisir des mots de passe comme « 9L=Xk&2> », les utilisateurs utiliseraient plutôt des mots de passe comme « Spring2019 ! ».
Il s'avère que, lorsqu'ils sont obligés de trouver et de mémoriser plusieurs mots de passe, puis de les changer régulièrement, les gens utilisent systématiquement des mots de passe faciles à mémoriser qui sont moins sûrs. Le problème avec les mots de passe incrémentiels comme "Spring2019!" est qu'ils sont faciles à deviner et qu'ils permettent ensuite de prédire facilement les changements futurs. Combiné, cela signifie que forcer la réinitialisation des mots de passe pousse les utilisateurs à choisir des mots de passe plus faciles à mémoriser et donc plus faibles, qui sapent généralement activement l'avantage escompté de réduire les risques futurs.
Par exemple, dans le pire des cas, un pirate informatique pourrait compromettre le mot de passe « Spring 2019 ! » dans les quelques mois suivant sa validité. À ce stade, ils peuvent essayer des variantes avec « Automne » au lieu de « Printemps » et ils sont susceptibles d'y accéder. Si l'entreprise détecte cette faille de sécurité et oblige ensuite les utilisateurs à modifier leurs mots de passe, il est fort probable que l'utilisateur concerné changera simplement son mot de passe en « Hiver 2019 ! » et pense qu'ils sont en sécurité. Le pirate informatique, connaissant le modèle, peut très bien essayer cela s'il parvient à y accéder à nouveau. Selon la durée pendant laquelle un utilisateur s'en tient à ce modèle, un attaquant pourrait l'utiliser pour un accès sur plusieurs années, tout en se sentant en sécurité car il change régulièrement son mot de passe.
Pour aider à encourager les utilisateurs à éviter les mots de passe stéréotypés, le conseil est désormais de ne réinitialiser les mots de passe que lorsqu'il existe un soupçon raisonnable qu'ils ont été compromis. En n'obligeant pas les utilisateurs à se souvenir régulièrement d'un nouveau mot de passe, ils sont plus susceptibles de choisir un mot de passe fort en premier lieu.
À cela s'ajoutent un certain nombre d'autres recommandations visant à encourager la création de mots de passe plus forts. Il s'agit notamment de s'assurer que tous les mots de passe comportent au moins huit caractères au minimum absolu et que le nombre maximal de caractères est d'au moins 64 caractères. Il a également recommandé que les entreprises commencent à s'éloigner des règles de complexité vers l'utilisation de listes de blocage utilisant des dictionnaires de mots de passe faibles tels que "ChangeMe!" et « Mot de passe1 » qui répondent à de nombreuses exigences de complexité.
La communauté de la cybersécurité convient presque à l'unanimité que les mots de passe ne doivent pas expirer automatiquement.
Remarque : Malheureusement, dans certains scénarios, il peut toujours être nécessaire de le faire, car certains gouvernements n'ont pas encore modifié les lois exigeant l'expiration du mot de passe pour les systèmes sensibles ou classifiés.
Si les applications et programmes non épinglés réapparaissent sur la barre des tâches, vous pouvez modifier le fichier Layout XML et supprimer les lignes personnalisées.
Supprimez les informations enregistrées de l
Dans ce tutoriel, nous vous montrons comment effectuer une réinitialisation douce ou dure sur l
Il existe tellement d\
Chercher la bonne carte pour payer peut être un vrai casse-tête. Découvrez comment Samsung Pay simplifie vos paiements avec le Galaxy Z Fold 5.
Lorsque vous supprimez l
Ce guide vous montrera comment supprimer des photos et des vidéos de Facebook en utilisant un PC, un appareil Android ou iOS.
Nous avons passé un peu de temps avec le Galaxy Tab S9 Ultra, et c’est la tablette parfaite à associer à votre PC Windows ou au Galaxy S23.
Désactivez les messages texte de groupe sur Android 11 pour garder vos notifications sous contrôle pour l
Effacez l
