Politique des mots de passe

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Une politique des mots de passe est une suite de règles destinée à améliorer la sécurité, en encourageant les utilisateurs à recourir à des mots de passe relativement robustes et en les utilisant correctement. Cette politique fait souvent partie des règlements officiels d'une organisation et est enseignée en tant qu'élément de formation pour une prise de conscience de l'importance de la sécurité.

Création de mots de passe[modifier | modifier le code]

Sa longueur minimale est généralement de 6 à 8 caractères, et une longueur maximale peut-être donnée, non pour la sécurité mais pour une éventuelle compatibilité des systèmes employés. Les caractères employés ont également leur importance. L'utilisation des minuscules et des majuscules, l'insertion de chiffres et de caractères spéciaux permettent une meilleure résistance en cas de tentative d'accès avec divers mots de passe. Pour lutter contre les programmes utilisant la force brute, les mots de passe ne devraient faire partie ni d'un dictionnaire, ni de noms propres, ni de dates valides et ni de données personnelles telles qu'un numéro de compte. Enfin, un générateur de mots de passe aléatoires peut être utilisé.

Pour l'exemple, il est exigé des employés du gouvernement de Grande-Bretagne d'utiliser des mots de passe de la forme consonne, voyelle, consonne, consonne, voyelle, consonne, nombre ; cela peut donner pinrad45. Il peut également s'agir d'une liste prédéfinie de mots de passe sélectionnables par les utilisateurs.

Période de validité[modifier | modifier le code]

Certaines règles imposent de changer les mots de passe périodiquement, tous les 60 à 180 jours ; de plus les systèmes qui mettent en application une telle politique empêchent parfois les utilisateurs de sélectionner un mot de passe trop près d'un choix précédent. Toutefois cela affaiblit la sécurité en raison de la difficulté à retenir un nombre élevé de mots de passe par l'utilisateur, celui-ci finit par employer des mots de passe plus faibles mais plus faciles à retenir. Un compromis consiste à accorder une longue période de validité aux mots de passe complexes.

Règles d'utilisation[modifier | modifier le code]

Une politique de mots de passe doit s'accompagner de bonnes habitudes d'utilisation :

  • ne jamais partager un compte utilisateur ;
  • ne jamais utiliser le même mot de passe pour différents accès ;
  • ne jamais donner son mot de passe, même aux personnes chargées de la sécurité ;
  • ne jamais écrire sur papier son mot de passe ;
  • ne jamais communiquer son mot de passe par téléphone, mail ou messagerie instantanée ;
  • s'assurer de la déconnexion avant de quitter un poste ou activer l'écran de veille s'il est protégé par un mot de passe ;
  • changer le mot de passe au moindre soupçon de compromission.

Considérations[modifier | modifier le code]

En pratique, il est recommandé d'ajouter des règles de gestion. Une durée maximale de connexion, un archivage des mots de passe par l'utilisateur reste possible si le support est protégé par chiffrement et un système d'annulation de mot de passe par une phrase servant de confirmation peuvent être des solutions pratiques.

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]