Microsoft a admis que l’un des grands fléaux de notre époque, la règle de réinitialisation du mot de passe, est une supercherie.
Microsoft a admis aujourd’hui que les stratégies d’expiration de mot de passe constituaient une mesure de sécurité inutile. De telles exigences constituent « une solution ancienne et obsolète de très faible valeur », a écrit la société dans un billet de blog sur les paramètres de base de sécurité de sécurité pour Windows 10 v1903 et Windows Server v1903. Microsoft n’abandonne pas ses règles d’expiration des mots de passe dans tous les domaines, mais l’article explique clairement la position de la société: expirer des mots de passe ne sert à rien.
Comme l’explique le billet de blog, si un mot de passe n’est jamais volé, il n’est pas nécessaire de le faire expirer. Et si un mot de passe est suspecté d’être volé, vous voudrez agir immédiatement, sans attendre la date d’expiration. Les mises à jour forcées conduisent également de plus en plus d’utilisateurs à écrire leurs mots de passe ou à les oublier. De plus, comme le dit Microsoft, « si vos utilisateurs sont prêts à répondre aux sondages sur le parking qui échangent une barre chocolatée contre leurs mots de passe, aucune stratégie d’expiration du mot de passe ne vous aidera ».
La société admet que l’état de la sécurité des mots de passe pose problème, mais ajoute que l’authentification à plusieurs facteurs et les listes de mots de passe interdits sont des mesures de sécurité plus efficaces. Microsoft propose de supprimer les stratégies d’expiration de mot de passe de sa base de sécurité pour Windows 10 v1903 et Windows Server v1903, mais cela ne concernera qu’un sous-ensemble relativement petit d’utilisateurs. La société ne prévoit pas de modifier les exigences relatives à la longueur minimale du mot de passe, à son historique ou à sa complexité. Et bien qu’il ne puisse pas inclure d’authentification multi-facteurs ni de listes de mots de passe interdits dans la base de sécurité, l’article de blog « recommande vivement » aux utilisateurs de rechercher des protections supplémentaires. Vous pouvez donc continuer à mettre à jour vos mots de passe si vous le souhaitez, mais même Microsoft vous dira que cela ne vous protégera pas.