We’ve streng­the­ned our passs­word complexity requi­re­ments


1. We’ve streng­the­ned our passs­word complexity requi­re­ments. We’ve noti­ced that the recur­ring pass­word expi­ra­tion often results in the use a poor or weak pass­words. The new pass­word requi­re­ments are:

  • Mini­mum length for 16 charac­ters
  • Mini­mum of 4 words when using a pass­phrase (a sequence of unre­la­ted words)
  • Maxi­mum length of 100 charac­ters
  • No pass­words that reuse the same words too many times, contain a birth­date suffix/prefix, etc.

We stron­gly encou­rage the use of pass­phrases, instead of a tradi­tio­nal pass­word with multiple charac­ter classes. Example pass­phrases are displayed on the pass­word reset site.

2. We’re remo­ving pass­word expi­ra­tion enti­rely. After chan­ging your LDAP pass­word one last time, it will no longer expire. The only reason you will need to change your change your LDAP pass­word in the future is if it has been acci­den­tally leaked, or if one of your compu­ters/mobile device were lost, stolen, or compro­mi­sed.

Je ne saurais trop remer­cier Mozilla d’avoir sauté ce pas, quand bien même je ne suis pas concerné. Les poli­tiques de mots de passe n’ont géné­ra­le­ment ni queue ni tête, et l’obli­ga­tion de chan­ger régu­liè­re­ment de mot de passe est proba­ble­ment la superbe mauvaise idée du siècle en termes de sécu­rité.

Je râle encore contre tous ces sites qui ont une procé­dure de réini­tia­li­sa­tion mais qui t’em­pêchent de saisir de nouveau un mot de passe que tu avais oublié préa­la­ble­ment.

Juste un point pour Mozilla : Pour les appa­reils perdus ou volés, la solu­tion est plus la possi­bi­lité d’avoir des mots de passe unique dédiés. Le mot de passe géné­rique n’est utile que là où il est tapé régu­liè­re­ment.

Partout où le mot de passe est à demeure (par exemple la confi­gu­ra­tion du client email), le système devrait permettre d’uti­li­ser un mot de passe unique, dédié. Si l’ap­pa­reil est compro­mis on ne change pas le mot de passe géné­rique, on se contente de « griller » le mot de passe dédié dans la liste des auto­ri­sa­tions.

Google le fait très bien pour ceux qui ont activé l’au­then­ti­fi­ca­tion en deux étapes.

,

5 réponses à “We’ve streng­the­ned our passs­word complexity requi­re­ments”

    • Ok. Normal alors :) comme OVH qui fournit une clef (j’ai oublié le nom) spécial en plus du mot de passe après qu’ils se soient fait hackés…

    • pour l’authentification il y a pas mal de choses. En hardware il y a les yubikey et autre rsa secureid. Sinon il y a pas mal d’appli smartphone, compatibles entre elles, qui offrent des services similaires.

  1. C’est ‘InfoSec compliant’ ?

    Sinon faut que ça le devienne car c’est principalement ce label qui pose soucis — enfin les contraintes UX que ça génère pour l’utilisateur au nom de la sécurité (même si cette sécurité ignore les post-it « parce que c’est pas mesurable »).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.