À quelle fréquence changer votre mot de passe?

Pendant des décennies, les services TI imposaient des changements de mot de passe tous les 60 ou 90 jours. Le raisonnement était simple: si un mot de passe fuit, la rotation régulière limite le temps d'accès de l'attaquant. Le raisonnement était faux.

Les recommandations modernes de NIST, Microsoft et du NCSC britannique convergent sur la même réponse: cessez d'imposer la rotation. La vraie règle est plus nuancée et plus facile à suivre.

Pourquoi la rotation forcée empirait les choses

Quand on force les utilisateurs à changer tous les quelques mois, un comportement prévisible suit. Ils font de petites modifications: Printemps2024! devient Été2024!, puis Automne2024!. Le nouveau mot de passe n'est pas plus difficile à casser que l'ancien. Souvent il est plus facile, parce que le changement est si prévisible.

NIST a étudié cela et trouvé que la rotation forcée produit:

• Des variations prévisibles que les attaquants devinent à partir de l'ancien mot de passe.
• Des mots de passe racine plus faibles, parce que les utilisateurs les veulent faciles à modifier.
• Plus de mots de passe sur des post it, parce que l'humain ne peut pas retenir des dizaines de variations.

En 2017, NIST a officiellement retiré l'exigence de rotation forcée dans SP 800-63B. La mise à jour de 2024 l'a renforcé. La recommandation actuelle est de n'exiger un changement qu'avec preuve de compromission.

La règle moderne, pour de vrai

Changez un mot de passe quand l'une des conditions suivantes est vraie:

1. Le mot de passe a été dans une fuite. Tout mot de passe exposé est compromis pour de bon. Changez le partout où il a été utilisé.
2. Vous soupçonnez un accès non autorisé. Une connexion d'un appareil inconnu, un courriel inattendu sur l'activité du compte.
3. Vous avez partagé le mot de passe avec quelqu'un, même temporairement, et le partage est terminé.
4. Vous avez utilisé le mot de passe sur un ordinateur partagé ou public où le keylogging est un risque.
5. Le compte stocke maintenant quelque chose de plus sensible qu'avant.

Hors de ces déclencheurs, un mot de passe fort et unique peut rester en place pendant des années.

Et les anciennes politiques d'entreprise?

Beaucoup de milieux de travail canadiens imposent encore une rotation de 60 ou 90 jours, souvent parce que la politique a été établie il y a des années et jamais mise à jour. Si vous pouvez la changer, la meilleure pratique moderne est:

• Aucune expiration obligatoire sur les mots de passe utilisateurs.
• Bloquer les mots de passe faibles connus et les fuités à la création.
• Exiger l'authentification multifacteur sur les systèmes sensibles.
• Déclencher une réinitialisation forcée seulement quand une compromission est détectée.

Microsoft, Google et la FIDO Alliance s'alignent sur cette approche. Les organisations canadiennes régies par la LPRPDE ou la Loi 25 du Québec peuvent l'adopter et respecter leurs obligations.

Scénarios spécifiques

Mot de passe de courriel

C'est votre identifiant unique le plus important. S'il est fort, unique et protégé par 2FA, ne le changez que s'il y a une raison. Une fois par an convient si vous voulez une routine.

Mot de passe bancaire

Même logique. Fort, unique, MFA active. La plupart des grandes banques canadiennes exigent maintenant la MFA par défaut.

Mot de passe de réseau social

Traitez le comme votre courriel. Si l'activité du compte montre quelque chose d'étrange, changez immédiatement. Sinon, laissez.

Mot de passe maître de gestionnaire

Cas spécial. Le mot de passe maître déverrouille tout le reste. Changez s'il y a raison de soupçonner une compromission, ou si vous l'avez utilisé sur un appareil non fiable. Certains utilisateurs font une rotation annuelle par précaution. Raisonnable, pas requis.

Mots de passe au travail avec expiration forcée

Si votre employeur l'exige, ne combattez pas depuis votre bureau. Conformez vous, mais essayez de définir un mot de passe vraiment frais, pas une variante de l'ancien. Utilisez votre gestionnaire pour suivre.

Pourquoi c'est une bonne nouvelle

L'ancienne politique de rotation était une taxe sur les utilisateurs. Bien faire prenait un effort réel. La politique moderne est bien plus facile à suivre. Définissez un mot de passe fort unique une fois, stockez le dans votre gestionnaire, activez la MFA, et passez à autre chose.

L'énergie que vous dépensiez à faire tourner les mots de passe vaut mieux dépensée à trois endroits:

1. Adopter un gestionnaire si ce n'est pas fait. Notre guide des gestionnaires parcourt les options.
2. Activer l'authentification à deux facteurs sur tous les comptes qui le permettent. Voir qu'est ce que la 2FA.
3. Faire une vérification ponctuelle pour trouver tout mot de passe déjà exposé. Les instructions sont dans comment vérifier si votre mot de passe a été divulgué.

Ces trois choses ensemble sont vastement plus efficaces que de faire tourner Password1! en Password2! chaque trimestre.

À retenir

Le conseil avec lequel vous avez grandi est dépassé. La rotation forcée affaiblissait les mots de passe. La règle moderne est simple: changez quand quelque chose a changé, pas sur un calendrier.

Si vous arrêtez de faire tourner sans compromission, vous gagnez du temps. Vous arrêtez aussi de vous entraîner à des motifs prévisibles. La nouvelle habitude est d'utiliser un mot de passe fort unique par compte, le stocker dans un gestionnaire, et le laisser tranquille sauf si quelque chose vous donne raison d'agir.

Pour la plupart des utilisateurs, ça veut dire changer une poignée de mots de passe par année. Certaines années, aucun. C'est ça, une bonne sécurité.