Ma grande organisation (plus de 15 000 utilisateurs) a mis en œuvre des «changements de mot de passe» tous les 120 jours à l'automne 2009. C'est un énorme casse-tête informatique et un gaspillage de ressources d'assistance. Chaque fois que cette fenêtre de 120 jours se déroule, des milliers d'utilisateurs sont obligés de changer leur mot de passe .... ce que beaucoup d'entre eux font de manière incorrecte et verrouillent leur compte .... ou oublient le lendemain. Notre helpdesk est submergé d'appels par mot de passe, même si nous avons essayé d'en faire autant que possible en libre-service.
Si vous voulez que vos utilisateurs / clients vous détestent ... et que votre personnel informatique de première ligne vous brûle à chaque fois qu'ils en ont l'occasion ... implémentez des changements de mot de passe.
Les politiques de changement de mot de passe sont une case à cocher dans certains IT Manager comment réserver quelque part ... et cela a été écrit il y a 15 ans. Personne dans les tranchées qui met réellement en œuvre ou soutient la politique ne vous dira jamais que c'est une bonne idée.
J'ai plaidé ici pour des "phrases de passe" au lieu de mots de passe ... beaucoup de bien qui a fait ... cette lumière au bout du tunnel était un train venant en sens inverse. :)
Une phrase de passe est une longue chaîne presque impossible à deviner qui est très facile à retenir, comme "MyCatIsFromSpainAndICallHimElGato". Ou peut-être une réplique d'un poème ou d'une chanson.
Si vous voulez qu'il soit vraiment difficile de craquer .... jouer avec le boîtier, ajouter de la ponctuation, changer certains en ells, ohs en zéros, a en @, etc ... Mais gardez-le en mémoire ... .c'est la clé. Il y a même des façons de les choisir pour qu'ils coulent facilement de vos doigts vers le clavier ... afin que vous ne rebondissiez pas partout entre les mains ou avec des SHIFT et des ponctuations étranges.
Donc...
- Utilisez de longues "phrases de passe".
- Testez-les en interne pour la force.
- Implémentez la "connexion unique" sur l'ensemble de votre infrastructure afin que les clients ne l'utilisent qu'une ou deux fois par jour.
- Ne les forcez jamais à le changer.
- Et éduquer, éduquer, éduquer sur leur bon usage.
Mat
EDIT: 24/08/2011 XKCD est d' accord et l'a dit mieux que moi.