Politique des mots de passe

Un article de Wikipédia, l'encyclopédie libre.

Une politique des mots de passe est une suite de règles destinée à améliorer la sécurité, en encourageant les utilisateurs à recourir à des mots de passe relativement complexes et en les utilisant correctement. Cette politique fait souvent partie des règlements officiels d'une organisation et est enseignée en tant qu'élément de formation pour une prise de conscience de l'importance de la sécurité.

Sommaire 1 Création de mots de passe 2 Période de validité 3 Règles d'utilisation 4 Considérations 5 Voir aussi 5.1 Liens internes 5.2 Lien externe

[modifier] Création de mots de passe

Sa longueur minimale est généralement de 6 à 8 caractères, et une longueur maximale peut-être donnée, non pour la sécurité mais pour une éventuelle compatibilité des systèmes employés. Les caractères employés ont également leur importance. L'utilisation des minuscules et des majuscules, l'insertion de chiffres et de caractères spéciaux permettent une meilleure résistance en cas de tentative d'accès avec divers mots de passe. Pour lutter contre les programmes utilisant la force brute, les mots de passes ne devraient faire partie ni d'un dictionnaire, ni de noms propres, ni de dates valides et ni de données personnelles telles qu'un numéro de compte. Enfin, un générateur de mots de passe aléatoires peut être utilisé.

Pour l'exemple, il est exigé des employés du gouvernement de Grande-Bretagne d'utiliser des mots de passe de la forme consonne, voyelle, consonne, consonne, voyelle, consonne, nombre; cela peut donner pinray45. Il peut également s'agir d'une liste prédéfinie de mots de passe sélectionnables par les utilisateurs.

[modifier] Période de validité

Certaines règles imposent de changer les mots de passe périodiquement, tous les 90 à 180 jours; de plus les systèmes qui mettent en application une telle politique empêchent parfois les utilisateurs de sélectionner un mot de passe trop près d'un choix précédent. Toutefois cela affaiblit la sécurité en raison de la difficulté à retenir un nombre élevé de mots de passe par l'utilisateur, celui-ci finit par employer des mots de passe plus faibles mais plus faciles à retenir. Un compromis consiste à accorder une longue période de validité aux mots de passe complexes.

[modifier] Règles d'utilisation

Une politique de mots de passe doit s'accompagner de bonnes habitudes d'utilisation :

• ne jamais partager un compte utilisateur;
• ne jamais utiliser le même mot de passe pour différents accès;
• ne jamais donner son mot de passe, même aux personnes chargées de la sécurité;
• ne jamais écrire sur papier son mot de passe;
• ne jamais communiquer son mot de passe par téléphone, mail ou messagerie instantanée;
• s'assurer de la déconnexion avant de quitter un poste;
• changer le mot de passe au moindre soupçon de compromission.

[modifier] Considérations

En pratique, il est recommandé d'ajouter des règles de gestion. Une durée maximale de connexion, un archivage des mots de passe par l'utilisateur reste possible si le support est protégé par encryptage et un système d'annulation de mot de passe par une phrase servant de confirmation peuvent être des solutions pratiques.

[modifier] Voir aussi

[modifier] Liens internes

• Politique de sécurité informatique
• Cassage de mot de passe

[modifier] Lien externe

• (en) Choisir un bon mot de passe

• Portail de la sécurité informatique