Pour garantir que votre politique des mots de passe Security Center suive les consignes de cybersécurité éprouvées, il est vivement recommandé de l’aligner sur les exigences publiées par NIST (National Institute of Standards and Technology).
Les consignes NIST concernant les règles de mots de passe sont disponibles dans NIST Special Publication 800-63B « Digital Identity Guidelines: Authentication and Lifecycle Management ». Ce document est mis à jour régulièrement lorsque les recommandations évoluent.
Dans la mise à jour du 02/03/2020, les consignes pour les mots de passe ou les secrets mémorisés ont été considérablement simplifiées, et elles sont résumées dans cette section. Reportez-vous toujours au document NIST pour obtenir les dernières informations.
Consignes NIST relatives aux mots de passe :
- Les mots de passe doivent compter au moins 8 caractères.REMARQUE : Nous recommandons des mots de passe d'au moins 12 caractères.
- À part la longueur, il est inutile d'imposer d'autres exigences de complexité, comme un nombre minimum de majuscules, de minuscules, de chiffres ou de caractères spéciaux.
- Il est inutile d'imposer un changement régulier des mots de passe. Un changement de mot de passe ne doit être imposé qu’en cas de piratage potentiel.
NIST ne recommande plus l'utilisation de mots de passe complexes. Les utilisateurs réagissent souvent aux règles de rédaction de manière prévisible, ce qui limite leur intérêt. À l’exception de la longueur, les règles de rédaction ont un effet négatif sur la facilité d'utilisation, tout en améliorant peu ou pas la fiabilité des mots de passe.