Politique d’expiration de mots de passe dans Windows : cela ne sert pas à grand chose, affirme Microsoft. Il l’enlève de ses consignes de sécurité de base.
Dans un billet de blog, Aaron Margosis, consultant chez Microsoft, explique que lorsque les utilisateurs choisissent leurs propres mots de passe, ces derniers sont trop souvent faciles à deviner ou à prédire. Mais lorsque les mots de passe sont trop compliqués à retenir, les utilisateurs les écrivent « trop souvent là où les autres peuvent les voir » ou les oublient. Et souvent, les modifications apportés à de nouveaux mots de passe sont trop « légères » et « prévisibles« . Bref, cela ne sert à rien de changer trop souvent de mot de passe, si bien évidemment il n’a pas été compromis.
Aaron Margosis précise cependant : « Nous ne proposons pas de modification des exigences en matière de longueur, d’historique ou de complexité du mot de passe« . Enfin, il s’agit là d’une recommandation, l’option d’expiration des mots de passe n’est pas retirée dans les prochaines versions Windows 10 v1903 et Windows Server v1903.
Finalement, aux administrateurs de décider quand changer les mots de passe en fonction des dispositifs mis en place dans l’organisation : liste de mots de passe interdits, authentification multifacteur, systèmes de détection d’attaques de mot de passe ou de tentatives de connexion anormales…
