tags : #area/watch #password #security
source :https://arstechnica.com/information-technology/2023/01/a-fifth-of-passwords-used-by-federal-agency-cracked-in-security-audit/
date : 2023-01-12
les règles de complexité de mot de passe types (12 caractères, speciaux, majuscules et miniscules) n'ont généralement aucun sens. Elles partent du principe que l'attaquant va faire du brute force alors qu'il va plutôt attaquer avec des listes de passwords connus, issues de fuites précédentes.
Imposer le changement de mots de passe réguliers incite les utilisateurs à choisir des mots de passe faibles.
La recommandation reste des mdp aléatoires avec des password managers ou des mots de passe de type phrase avec des mots "unrelated"
Politique mots de passe Microsoft : "Periodic password expiration is an ancient and obsolete mitigation of very low value, and we don’t believe it’s worthwhile for our baseline to enforce any specific value. "
https://docs.microsoft.com/fr-fr/archive/blogs/secguide/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903 La CNIL suit aussi cette recommandation :
L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus). (lien)
Interception/usurpation sur mobiles : https://arstechnica.com/information-technology/2021/03/16-attack-let-hacker-intercept-a-t-mobile-users-text-messages/#p3 (sur la même attaque aussi ce lien)
Quelques éléments sur le fait d'utiliser un numéro de téléphone comme authentification multi-facteur : https://krebsonsecurity.com/2021/04/are-you-one-of-the-533m-people-who-got-facebooked/
Service en ligne pour interception d'OTP par SMS : https://krebsonsecurity.com/2021/09/the-rise-of-one-time-password-interception-bots/
Nouvelles règles de mots de passe : https://www.riskinsight-wavestone.com/2021/11/l-evolution-des-regles-de-complexite-des-mots-de-passe-du-nist/