Le NIST appelle à bannir les règles contre-productives sur les mots de passe

L’Institut national des normes et de la technologie (NIST) des États-Unis a formulé, fin août 2024, ses nouvelles recommandations sur l’hygiène numérique des mots de passe. L’organisme de standardisation propose d’abandonner deux pratiques contre-productives, mais encore largement utilisées : le renouvellement régulier et les exigences de composition.

Changer un mot de passe génère en effet un court moment de vulnérabilité, qui peut être mis à profit par des cybercriminels. Le NIST le répète fermement : un tel renouvellement ne s’impose qu’en cas de compromission avérée du compte de l’internaute ou du site concerné.

La seconde recommandation invite à renoncer aux exigences de composition dans les mots de passe. Contraindre l’internaute à utiliser une majuscule, un chiffre et / ou un caractère spécial doit rendre son mot de passe plus complexe à deviner. Or, « les recherches ont montré que les utilisateurs réagissent de manière très prévisible aux exigences imposées par les règles de composition », précise le NIST.

Ainsi, un internaute qui a l’habitude d’utiliser un mot de passe simplissime se contentera d’y ajouter un « 1 » et un « ! », rendant le nouvel identifiant à peine plus difficile à deviner. Des exigences de composition trop fortes incitent également à réutiliser davantage un même mot de passe pour plusieurs services.

L’avantage d’ajouter chiffre, symbole ou majuscule serait donc, selon le NIST, « moins important qu’on ne le pensait initialement ». En revanche, les effets néfastes sur la mémorisation et la facilité d’emploi « sont graves ». Le meilleur moyen de sécuriser ses accès numériques reste donc d’utiliser un gestionnaire de mots de passe, qui génère des combinaisons aléatoires et complexes que l’internaute n’a pas à mémoriser.