L’UNC-…Chapel Hill passe à un système de changement des mots de passe Onyen à une fois par an plutôt que tous les 91 jours. Pour la commodité de changer leur mot de passe une seule fois par an, les membres de la communauté du campus devront créer des mots de passe plus difficiles à craquer pour les criminels.
Dans un billet invité, Alex Everett, architecte de sécurité informatique au bureau de sécurité de l’information au sein de l’ITS, discute de ce changement du point de vue de la sécurité informatique. Il explique ce qui rend ce nouveau système plus sûr tout en étant plus convivial.
À partir du 13 mai, ITS Identity Management publiera une mise à jour majeure du service Onyen. Cette mise à jour permettra aux administrés d’utiliser le même mot de passe jusqu’à un an tout en supprimant toutes les exigences en matière de caractères qui sont en place aujourd’hui.
Nous pensons que cela permettra non seulement d’améliorer l’expérience utilisateur, mais aussi d’obtenir un ensemble de mots de passe modestement plus forts, car le service est désormais plus étroitement aligné sur les recommandations du National Institute of Standards and Technology et de notre propre département d’informatique. Cependant, 2-Step ou deux facteurs doit continuer à être un élément clé de l’authentification à l’Université car il protège contre notre plus grande menace pour les mots de passe – le phishing.
Depuis longtemps, nous demandons à nos administrés de mémoriser des mots de passe qui contiennent des chiffres, des caractères spéciaux et des lettres plutôt que de permettre des combinaisons de mots, d’expressions ou de phrases qui sont aussi fortes et beaucoup plus mémorisables. Un extrait d’une bande dessinée populaire tente de rendre compte de cela.
Technologies d’authentification plus sûres
Nous avons également fait peser davantage la responsabilité de la force des mots de passe sur l’administré plutôt que de limiter les attaques par devinette de mots de passe et de sécuriser les bases de données de mots de passe. Cependant, au cours des dernières années, nos collègues de ITS Infrastructure & Operations ont fait des progrès sur ces fronts, notamment en réalisant une évaluation des risques et en adoptant des technologies d’authentification plus sûres. En tant que tel, nos principaux risques pour les mots de passe Onyen proviennent d’attaques d’hameçonnage et, à un moindre degré, d’attaques de devinettes en ligne, en particulier celles utilisant des informations d’identification compromises trouvées dans des violations de mots de passe externes. Il est important de s’abstenir d’utiliser votre mot de passe Onyen pour des comptes non universitaires, tels que les médias sociaux et les services bancaires. Les gestionnaires de mots de passe tels que LastPass présentent un moyen simple de gérer une multitude d’identifiants en toute sécurité.
Un aperçu de ce à quoi s’attendre
Voici un exemple de ce que les administrés verront lorsqu’ils changeront leur mot de passe à partir du mois de mai. Nous vous encourageons à définir un mot de passe » très fort « .
Au fur et à mesure que le mot de passe est tapé, le service évalue le nombre de suppositions qu’un attaquant doit faire. Ce service est basé sur un algorithme conçu par Daniel Wheeler de Dropbox qui tente d’imiter la façon dont les attaquants opèrent.
Plutôt que d’estimer la complexité en se basant uniquement sur la longueur et les jeux de caractères, il estime la complexité en fonction d’une myriade de facteurs, notamment la disposition du clavier, la répétition, la fréquence des mots dans les langues, les substitutions de caractères et la force brute. Ainsi, il reconnaît que « C@rol1n@ » est une simple substitution d’un mot courant et le considère comme beaucoup plus facile à deviner que « redandcold », une simple combinaison de trois mots que le service autorise. Cela semble un peu contre-intuitif, mais même ces mots de passe courts sont aussi forts que bon nombre des mots de passe que nos électeurs utilisent aujourd’hui.
Le service vérifiera également le mot de passe soumis par rapport à une liste de mots de passe exposés connus provenant de violations publiques de mots de passe. En outre, il exigera que le nouveau mot de passe diffère significativement de la composition du mot de passe précédent.
Les besoins varient selon l’application
Enfin, je tiens à noter qu’un mot de passe » fort » ou » très fort » autorisé par le service Onyen peut ne pas être suffisamment fort pour être utilisé dans d’autres contextes. Par exemple, si vous chiffrez un fichier et le placez sur un système de stockage auquel n’importe qui à l’Université peut accéder, ce fichier peut être copié et craqué hors ligne sans aucune limite. C’est également similaire à un mot de passe local sur un serveur informatique qui permet des milliers de connexions (SSH, RDP ou web) par heure sans aucune limite de débit ou de surveillance. Pour ces utilisations et également pour les comptes de service, nous recommandons un mot de passe long de 17 caractères ou plus, conformément à la norme récemment révisée sur les mots de passe, phrases de passe et autres méthodes d’authentification.