Quelles sont les recommandations du NIST concernant la fréquence de changement des mots de passe ?
[A] Aucun changement automatique. On ne change qu’en cas de compromission ou de suspicion de compromission de son mot de passe
[B] Chaque 30 jours
[C] Chaque 90 jours
[D] Au minimum 2 fois par an
En 2003, la publication spéciale du NIST (SP 800-63) préconisait de changer régulièrement les mots de passe et donnait une durée indicative de 90 jours. Mais en 2017, le NIST a revu sa position et a révisé ce document dans lequel on peut aujourd’hui lire : « Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator. »
Même notre agence nationale (l’ANSSI) a revu sa position en octobre 2021 et ne recommande plus d’imposer un délai d’expiration sauf pour les utilisateurs disposant de privilèges administratifs. Recommandation n°24 du guide ANSSI : Recommandations relatives à l’authentification multifacteur et aux mots de passe – v2.0.
La bonne réponse est la proposition [A]
Dans la formation CISSP de VERISAFE, nous expliquons en détail la problématique de l’authentification par mots de passe. Vous comprendrez alors pourquoi cette pratique de changement régulier des mots de passe (pourtant encore largement répandue) est une fausse bonne idée.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE