Carnet de notes

We’ve streng­the­ned our passs­word complexity requi­re­ments

in

,

1. We’ve streng­the­ned our passs­word complexity requi­re­ments. We’ve noti­ced that the recur­ring pass­word expi­ra­tion often results in the use a poor or weak pass­words. The new pass­word requi­re­ments are:

  • Mini­mum length for 16 charac­ters
  • Mini­mum of 4 words when using a pass­phrase (a sequence of unre­la­ted words)
  • Maxi­mum length of 100 charac­ters
  • No pass­words that reuse the same words too many times, contain a birth­date suffix/prefix, etc.

We stron­gly encou­rage the use of pass­phrases, instead of a tradi­tio­nal pass­word with multiple charac­ter classes. Example pass­phrases are displayed on the pass­word reset site.

2. We’re remo­ving pass­word expi­ra­tion enti­rely. After chan­ging your LDAP pass­word one last time, it will no longer expire. The only reason you will need to change your change your LDAP pass­word in the future is if it has been acci­den­tally leaked, or if one of your compu­ters/mobile device were lost, stolen, or compro­mi­sed.

Je ne saurais trop remer­cier Mozilla d’avoir sauté ce pas, quand bien même je ne suis pas concerné. Les poli­tiques de mots de passe n’ont géné­ra­le­ment ni queue ni tête, et l’obli­ga­tion de chan­ger régu­liè­re­ment de mot de passe est proba­ble­ment la superbe mauvaise idée du siècle en termes de sécu­rité.

Je râle encore contre tous ces sites qui ont une procé­dure de réini­tia­li­sa­tion mais qui t’em­pêchent de saisir de nouveau un mot de passe que tu avais oublié préa­la­ble­ment.

Juste un point pour Mozilla : Pour les appa­reils perdus ou volés, la solu­tion est plus la possi­bi­lité d’avoir des mots de passe unique dédiés. Le mot de passe géné­rique n’est utile que là où il est tapé régu­liè­re­ment.

Partout où le mot de passe est à demeure (par exemple la confi­gu­ra­tion du client email), le système devrait permettre d’uti­li­ser un mot de passe unique, dédié. Si l’ap­pa­reil est compro­mis on ne change pas le mot de passe géné­rique, on se contente de « griller » le mot de passe dédié dans la liste des auto­ri­sa­tions.

Google le fait très bien pour ceux qui ont activé l’au­then­ti­fi­ca­tion en deux étapes.

Comments

5 réponses à “We’ve streng­the­ned our passs­word complexity requi­re­ments”

  1. Avatar de Gilles
    Gilles

    C’est quoi ça ? Mot de passe de quoi ? Compte Sync dans FF ?
    Parce que devant tant de sécurité demandé et de complexité exigé, une seule réponse : http://www.parigotmanchot.fr/2013/01/07/mais-laissez-moi-choisir-mon-mot-de-passe-bordel/

    Répondre
    1. Avatar de Pierre Chapuis
      Pierre Chapuis

      Je pense que c’est pour leurs employés, pas leurs utilisateurs :)

    2. Avatar de Gilles
      Gilles

      Ok. Normal alors :) comme OVH qui fournit une clef (j’ai oublié le nom) spécial en plus du mot de passe après qu’ils se soient fait hackés…

    3. Avatar de Éric
      Éric

      pour l’authentification il y a pas mal de choses. En hardware il y a les yubikey et autre rsa secureid. Sinon il y a pas mal d’appli smartphone, compatibles entre elles, qui offrent des services similaires.

  2. Avatar de Oncle Tom
    Oncle Tom

    C’est ‘InfoSec compliant’ ?

    Sinon faut que ça le devienne car c’est principalement ce label qui pose soucis — enfin les contraintes UX que ça génère pour l’utilisateur au nom de la sécurité (même si cette sécurité ignore les post-it « parce que c’est pas mesurable »).

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *