Politique de mots de passe
Qu'est-ce que Politique de mots de passe ?
Politique de mots de passeEnsemble documenté de regles encadrant la creation, le stockage, la rotation et la validation des mots de passe utilisateur pour equilibrer securite et usabilite.
Une politique de mots de passe definit les exigences que l'organisation impose aux secrets choisis par les utilisateurs : longueur minimale, jeu de caracteres autorise, controle face aux corpus compromis, regles d'expiration et seuils de verrouillage. Les recommandations actuelles du NIST SP 800-63B (revisions 3 et brouillon 4) ont abandonne les rotations periodiques obligatoires et les regles de composition complexes, qui poussaient les utilisateurs vers des schemas previsibles. Le socle recommande aujourd'hui est de 8 caracteres minimum (15+ pour les comptes a privileges), une comparaison aux listes de mots de passe divulgues comme Have I Been Pwned et aucune rotation forcee sans indice de compromission. Une politique efficace combine longueur, MFA, gestionnaires de mots de passe et limitation des tentatives.
● Exemples
- 01
Politique fine d'Active Directory imposant 14 caracteres et un controle HIBP pour les Domain Admins.
- 02
Inscription SaaS rejetant tout mot de passe present dans l'API Pwned Passwords.
● Questions fréquentes
Qu'est-ce que Politique de mots de passe ?
Ensemble documenté de regles encadrant la creation, le stockage, la rotation et la validation des mots de passe utilisateur pour equilibrer securite et usabilite. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Politique de mots de passe ?
Ensemble documenté de regles encadrant la creation, le stockage, la rotation et la validation des mots de passe utilisateur pour equilibrer securite et usabilite.
Comment fonctionne Politique de mots de passe ?
Une politique de mots de passe definit les exigences que l'organisation impose aux secrets choisis par les utilisateurs : longueur minimale, jeu de caracteres autorise, controle face aux corpus compromis, regles d'expiration et seuils de verrouillage. Les recommandations actuelles du NIST SP 800-63B (revisions 3 et brouillon 4) ont abandonne les rotations periodiques obligatoires et les regles de composition complexes, qui poussaient les utilisateurs vers des schemas previsibles. Le socle recommande aujourd'hui est de 8 caracteres minimum (15+ pour les comptes a privileges), une comparaison aux listes de mots de passe divulgues comme Have I Been Pwned et aucune rotation forcee sans indice de compromission. Une politique efficace combine longueur, MFA, gestionnaires de mots de passe et limitation des tentatives.
Comment se défendre contre Politique de mots de passe ?
Les défenses contre Politique de mots de passe combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Politique de mots de passe ?
Noms alternatifs courants : Regles de mot de passe, Politique d'identifiants.
● Termes liés
- identity-access№ 795
Mot de passe
Chaîne de caractères secrète qu'un utilisateur fournit pour prouver son identité à un système ; historiquement le mécanisme d'authentification à facteur unique dominant.
- identity-access№ 796
Entropie de mot de passe
Mesure en bits de l'imprevisibilite d'un mot de passe : plus l'entropie est elevee, plus il faut d'essais pour le retrouver.
- identity-access№ 884
Mot de passe compromis (Pwned)
Mot de passe deja apparu dans une fuite connue et qui ne doit donc jamais etre autorise, conformement au service Have I Been Pwned de Troy Hunt.
- identity-access№ 797
Gestionnaire de mots de passe
Application qui génère, stocke et remplit automatiquement des identifiants uniques et robustes, protégée par une phrase maîtresse et, de plus en plus, par des passkeys.
- identity-access№ 708
Authentification multifacteur (MFA)
Méthode d'authentification exigeant au moins deux facteurs indépendants — généralement de catégories différentes — avant d'accorder l'accès.
- identity-access№ 009
Verrouillage de compte
Mecanisme qui bloque temporairement ou definitivement les connexions apres un nombre defini d'echecs consecutifs afin de ralentir les attaques en ligne par devinage.