1. We’ve strengthened our passsword complexity requirements. We’ve noticed that the recurring password expiration often results in the use a poor or weak passwords. The new password requirements are:
- Minimum length for 16 characters
- Minimum of 4 words when using a passphrase (a sequence of unrelated words)
- Maximum length of 100 characters
- No passwords that reuse the same words too many times, contain a birthdate suffix/prefix, etc.
We strongly encourage the use of passphrases, instead of a traditional password with multiple character classes. Example passphrases are displayed on the password reset site.
2. We’re removing password expiration entirely. After changing your LDAP password one last time, it will no longer expire. The only reason you will need to change your change your LDAP password in the future is if it has been accidentally leaked, or if one of your computers/mobile device were lost, stolen, or compromised.
Je ne saurais trop remercier Mozilla d’avoir sauté ce pas, quand bien même je ne suis pas concerné. Les politiques de mots de passe n’ont généralement ni queue ni tête, et l’obligation de changer régulièrement de mot de passe est probablement la superbe mauvaise idée du siècle en termes de sécurité.
Je râle encore contre tous ces sites qui ont une procédure de réinitialisation mais qui t’empêchent de saisir de nouveau un mot de passe que tu avais oublié préalablement.
Juste un point pour Mozilla : Pour les appareils perdus ou volés, la solution est plus la possibilité d’avoir des mots de passe unique dédiés. Le mot de passe générique n’est utile que là où il est tapé régulièrement.
Partout où le mot de passe est à demeure (par exemple la configuration du client email), le système devrait permettre d’utiliser un mot de passe unique, dédié. Si l’appareil est compromis on ne change pas le mot de passe générique, on se contente de « griller » le mot de passe dédié dans la liste des autorisations.
Google le fait très bien pour ceux qui ont activé l’authentification en deux étapes.
5 réponses à “We’ve strengthened our passsword complexity requirements”
C’est quoi ça ? Mot de passe de quoi ? Compte Sync dans FF ?
Parce que devant tant de sécurité demandé et de complexité exigé, une seule réponse : http://www.parigotmanchot.fr/2013/01/07/mais-laissez-moi-choisir-mon-mot-de-passe-bordel/
Je pense que c’est pour leurs employés, pas leurs utilisateurs :)
Ok. Normal alors :) comme OVH qui fournit une clef (j’ai oublié le nom) spécial en plus du mot de passe après qu’ils se soient fait hackés…
pour l’authentification il y a pas mal de choses. En hardware il y a les yubikey et autre rsa secureid. Sinon il y a pas mal d’appli smartphone, compatibles entre elles, qui offrent des services similaires.
C’est ‘InfoSec compliant’ ?
Sinon faut que ça le devienne car c’est principalement ce label qui pose soucis — enfin les contraintes UX que ça génère pour l’utilisateur au nom de la sécurité (même si cette sécurité ignore les post-it « parce que c’est pas mesurable »).