Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Directives NIST sur les mots de passe : Ce que vous devez savoir

Directives NIST sur les mots de passe : Ce que vous devez savoir

Aug 13, 2024

The National Institute of Standards and Technology (NIST) helps organizations implement best practices across their operations, including cybersecurity. In particular, NIST password guidelines outlines are considered the gold standard for solid password creation and management policies.

Cet article explique les directives actuelles de NIST sur les mots de passe, détaillées dans la publication spéciale 800-63B, « Digital Identity Guidelines », et comment les organisations peuvent les mettre en œuvre pour renforcer leur stratégie de cybersécurité.

L'évolution des directives de mots de passe NIST

La première version des directives de mot de passe NIST 800-63 a été publiée en 2014. La norme actuelle est la version 3, sortie en 2019 et mise à jour en 2020. Une quatrième révision (directives de mot de passe NIST 2024) est en préparation pour répondre à l'évolution du paysage des attaques.

Une raison principale pour laquelle le NIST a modifié ses directives de mot de passe au fil du temps est son observation du comportement réel des utilisateurs. Plus précisément, bien que des règles strictes de mot de passe semblent renforcer la sécurité, elles peuvent submerger les utilisateurs, les amenant à adopter des pratiques qui nuisent réellement à la sécurité.

Par exemple, exiger des utilisateurs de choisir des mots de passe très complexes et de les changer fréquemment peut faire plus de mal que de bien — les utilisateurs désireux d'éviter la frustration des blocages de compte peuvent être tentés de noter leurs mots de passe et de les conserver juste à côté de leur bureau. En conséquence, le NIST cherche maintenant à faciliter des pratiques optimales plus conviviales qui améliorent la sécurité globale.

Terminologie clé

Les sections de la publication spéciale NIST sont présentées comme informatives, normatives ou les deux. Informatif le matériel vise à aider le lecteur à comprendre les concepts. Normatif le contenu fournit des recommandations pour une entreprise lors de la création de password policies. Portez une attention particulière aux termes clés suivants :

  • Shall and shall not — Indicate actions that NIST requires organizations to take (or not take)
  • Should and should not —Indicate that NIST recommends (or discourages) an action
  • Peut et ne peut pas — Indiquent qu'une action est permise (ou non permise)
  • Peut et ne peut pas — Indiquent une possibilité ou une capacité (ou son absence), qu'elle soit physique, causale ou matérielle

Répondez aux exigences du NIST avec Netwrix

Directives NIST sur les mots de passe

Les composants principaux des recommandations de mots de passe du NIST peuvent être regroupés en deux domaines :

  • Composition des mots de passe, qui comprend les exigences de longueur et de complexité pour des mots de passe sécurisés.
  • Gestion des mots de passe, qui couvre des sujets tels que l'expiration des mots de passe, les politiques de verrouillage et l'utilisation de gestionnaires de mots de passe.


Composition du mot de passe

Une différence clé entre les anciennes directives NIST sur les mots de passe et les directives actuelles est la priorisation de la longueur du mot de passe plutôt que de sa complexité. La raison est simple : bien que les exigences de complexité rendent les mots de passe plus difficiles à deviner ou à craquer pour les pirates, elles poussent souvent les utilisateurs à adopter des pratiques risquées telles que noter leurs mots de passe. Les exigences de longueur atteignent de nombreux avantages sécuritaires sans l'inconvénient, puisque les utilisateurs peuvent choisir des phrases secrètes fortes qui sont faciles à retenir et à taper.

En conséquence, les directives NIST sur les mots de passe de 2023 incluent les exigences suivantes en matière de longueur et de complexité :

  • Longueur minimale — Les mots de passe générés par l'utilisateur doivent comporter au moins 8 caractères et les mots de passe créés automatiquement doivent en comporter au moins 6. Auparavant, la longueur minimale pour les deux était de 6.
  • Longueur maximale — Les mots de passe générés par l'utilisateur et générés automatiquement doivent avoir une longueur maximale de 64 caractères.
  • Complexité des mots de passe — Les anciennes directives du NIST exigeaient que les mots de passe incluent des caractères spéciaux et interdisaient certains caractères, tels que les espaces et les émojis. Désormais, le NIST recommande de ne pas imposer d'exigences de complexité mais de rendre tous les caractères du code standard américain pour l'échange d'informations (ASCII) autorisés.

Gestion des mots de passe

La publication actuelle du NIST offre également des conseils révisés sur la gestion de la sécurité des mots de passe. Les révisions clés concernent les points suivants :

  • Changements de mot de passe — Auparavant, les exigences d'expiration de mot de passe du NIST obligeaient les utilisateurs à changer leur mot de passe périodiquement. Cependant, à la lumière de recherches ultérieures, le NIST recommande désormais d'exiger des utilisateurs qu'ils changent leur mot de passe uniquement lorsqu'il y a une raison spécifique, telle qu'une compromission de compte.
  • Historique des mots de passe—Il est recommandé aux organisations de comparer le nouveau mot de passe proposé par un utilisateur avec les anciens pour garantir une originalité suffisante.
  • Vérification des mots de passe — Le NIST exige des organisations qu'elles vérifient les nouveaux mots de passe proposés par rapport à une liste noire de mots de passe interdits. Ces listes de mots de passe peuvent inclure des identifiants compromis lors de violations antérieures, des mots du dictionnaire, des mots de passe contenant des caractères répétitifs ou consécutifs comme « 12345 » ou « aaaa », et des mots spécifiques au contexte comme le nom de l'utilisateur ou de l'entreprise.
  • Verrouillages de compte — NIST 800-63B recommande que les comptes soient verrouillés après au moins 10 tentatives de connexion échouées.
  • Stockage de mots de passe — NIST exige l'utilisation du hachage et du salage de mots de passe pour rendre les attaques par devinettes de mots de passe excessivement coûteuses pour les adversaires.
  • Indices de mot de passe — Les directives actuelles du NIST en matière de mots de passe déconseillent aux organisations de permettre des indices de mot de passe (par exemple, « Quelle année êtes-vous né ? ») car ils peuvent faciliter la tâche des pirates pour deviner le mot de passe d'un utilisateur.

Meilleures pratiques pour la mise en œuvre des recommandations NIST sur les mots de passe

Les directives NIST offrent un aperçu précieux pour protéger les systèmes informatiques, les services et les données contre les menaces cybernétiques. Voici quelques meilleures pratiques clés à suivre :

  • Soyez pragmatique. Comme nous l'avons constaté, des exigences de mot de passe trop strictes sont souvent contre-productives. De plus, elles peuvent ne pas améliorer la sécurité autant que prévu. Par exemple, le NIST note que les exigences de complexité et de longueur des mots de passe n'aident pas à se défendre contre les attaques par enregistrement de frappe, hameçonnage et ingénierie sociale.
  • Proposez un gestionnaire de mots de passe. Les directives du NIST encouragent les organisations à permettre aux utilisateurs d'utiliser des gestionnaires de mots de passe car ces outils facilitent le choix de mots de passe longs et complexes sans craindre de les oublier et de se retrouver bloqués. Avec un gestionnaire de mots de passe, vous pouvez adopter en toute confiance les exigences de longueur et de complexité qui conviennent le mieux à votre organisation.
  • Améliorez l'authentification — La plupart des organisations utilisent encore les mots de passe comme facteur d'authentification principal. Le NIST rappelle aux organisations que l'authentification basée sur la connaissance (invitant un utilisateur à répondre à des questions) n'est pas une méthode acceptable d'authentification. De plus, les biométries telles que les empreintes digitales ne sont pas en elles-mêmes une forme d'authentification suffisante, bien qu'elles puissent être utilisées dans l'authentification multifactorielle. Les directives du NIST découragent l'utilisation de messages SMS dans l'authentification multifactorielle.
  • Adoptez une approche approfondie de la sécurité. Les politiques de mots de passe robustes sont importantes pour chaque organisation, mais elles ne sont qu'un élément d'une stratégie globale de cybersécurité. Assurez-vous de mettre en œuvre d'autres pratiques de sécurité essentielles, telles que l'application rigoureuse du principle of least privilege pour contrôler strictement l'accès aux données et systèmes sensibles.

Comment Netwrix peut aider


Choisir les bons outils peut vous permettre d'atteindre la conformité avec les directives de mots de passe NIST plus rapidement et plus efficacement. Pour aider, Netwrix propose une solution robuste de password management solution. Les produits clés incluent :

  • Netwrix Password Policy Enforcer, qui facilite la création de politiques de mot de passe puissantes tout en offrant une expérience positive aux utilisateurs.
  • Netwrix Directory Manager, qui permet aux utilisateurs de réinitialiser leurs propres mots de passe et de déverrouiller leurs comptes, réduisant ainsi les coûts du service d'assistance et la frustration des utilisateurs.
  • Netwrix Password Secure, qui permet aux utilisateurs de gérer leurs mots de passe en toute sécurité et aux administrateurs de gérer l'accès privilégié et d'auditer l'utilisation des mots de passe.

Conclusion

Les directives NIST sont la référence en matière de composition des mots de passe et de politiques de gestion des mots de passe qui protègent les systèmes sensibles et les données. Les changements principaux par rapport aux anciennes recommandations incluent l'accent sur la longueur plutôt que sur la complexité et l'absence d'exigence de rotation régulière des mots de passe.


FAQ

Quelles sont les directives de politique de mot de passe NIST ?


NIST 800-63B, “Lignes directrices sur l'identité numérique,” offre des recommandations pour la composition des mots de passe et la gestion des mots de passe. Les directives actuelles du NIST comprennent ce qui suit:

  • Privilégiez la longueur à la complexité.
  • Exigez que les mots de passe générés par les utilisateurs soient de 8 à 64 caractères et que les mots de passe générés automatiquement soient de 6 à 64 caractères.
  • Autorisez l'utilisation de tous les caractères ASCII, y compris les espaces et les émojis.
  • Vérifiez les nouveaux mots de passe du candidat par rapport à une liste de mots de passe faibles et compromis.
  • Interdire les indices de mot de passe.

Quel est le guide des mots de passe NIST 800-63 ?

Les directives de mot de passe NIST 800-63B, intitulées « Digital Identity Guidelines », servent de cadre pour aider les organisations à mettre en œuvre les meilleures pratiques pour les mots de passe.


Est-ce que le NIST recommande l'expiration des mots de passe ?

Non, le NIST ne recommande plus d'exiger des utilisateurs de changer régulièrement leurs mots de passe, car les politiques d'expiration des mots de passe poussent souvent les utilisateurs à adopter des pratiques peu sécurisées telles que noter leurs mots de passe. Au lieu de cela, les organisations devraient exiger un changement de mot de passe uniquement pour une bonne raison, comme la compromission d'un compte.


Quelles sont les directives pour les mots de passe de NIST 800-171 ?

NIST 800-171 les directives concernant les mots de passe sont détaillées dans NIST Special Publication 800-171 Revision 3, « Protéger les informations non classifiées contrôlées dans les systèmes et organisations non fédéraux. »

Quelles sont les normes de mot de passe pour 2024 ?


Les directives sur les mots de passe du NIST établissent des normes pour une large gamme d'applications liées aux mots de passe, y compris, mais sans s'y limiter :

  • La suppression de l'authentification basée sur la connaissance
  • Acceptation de caractères tels que les émojis ou la barre d'espace
  • Acceptation des gestionnaires de mots de passe
  • Suppression des dates d'expiration et des indices de mot de passe
  • Privilégiant la longueur à la complexité
  • Établir des longueurs minimales et maximales pour les mots de passe générés automatiquement et par l'utilisateur

Quelle devrait être la longueur des mots de passe en 2024 ?

Les directives NIST sur les mots de passe indiquent que les mots de passe générés par les utilisateurs doivent comporter de huit à 64 caractères, tandis que les mots de passe générés automatiquement doivent comporter de six à 64 caractères.

Apprenez à empêcher l’expiration des mots de passe

En savoir plus

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Joe Dibley

Chercheur en sécurité

Chercheur en sécurité chez Netwrix et membre de l'équipe de recherche en sécurité de Netwrix. Joe est un expert en Active Directory, Windows et une grande variété de plateformes logicielles d'entreprise et de technologies, Joe étudie les nouveaux risques de sécurité, les techniques d'attaque complexes, ainsi que les atténuations et détections associées.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité