Recommandations NIST 2025 pour la gestion des mots de passe

• Les nouvelles directives NIST 2025 marquent un changement radical dans l’approche des mots de passe, privilégiant l’utilisabilité plutôt que la complexité arbitraire. Ces recommandations s’appuient sur la recherche du monde réel et influencent les cadres de conformité réglementaire comme HIPAA, GDPR et GLBA.

• Changement de paradigme : Les directives NIST 2025 abandonnent la complexité arbitraire au profit d’une approche plus centrée sur l’utilisateur.

• Priorité à l’utilisabilité : L’accent est mis sur la facilité de création, de mémorisation et d’utilisation des mots de passe.

• Fondement empirique : Les recommandations s’appuient sur des recherches concrètes et des données issues du comportement réel des utilisateurs.

• Réduction des comportements à risque : En simplifiant les règles, les nouvelles directives visent à limiter la réutilisation ou le stockage non sécurisé des mots de passe.

• Adoptez dès aujourd’hui les bonnes pratiques

Résumé des principales recommandations

Longueur prioritaire sur la complexité

• Longueur minimale :
  • le NIST relève la barre : 15 caractères mini si le mot de passe est utilisé seul (single-factor) ;
  • si le mot de passe n’est qu’un élément d’une MFA, la longueur mini peut être 8 caractères.
  • la longueur maxi recommandée est ≥ 64 et l’Unicode (y compris l’espace) doit être accepté.
• NDLR,et conseils de chez Eur’Net
  • Changer régulièrement son mot de passe peut sembler fastidieux, voire décourageant.
  • Il est alors tentant de repousser cette tâche indéfiniment, ce qui représente un véritable risque pour la sécurité.
  • Chez Eur’Net, nous recommandons d’utiliser des mots de passe d’au moins 20 caractères. La règle est claire : à partir de 20 caractères, et jusqu’à 64 ou 128 selon le niveau de sensibilité.
  • Ce conseil s’inscrit dans la règle du C.U.L. : un bon mot de passe doit être Compliqué, Unique et Long.
  • De toute façon, comme les mots de passe sont enregistrés dans un gestionnaire sécurisé, qu’ils comportent 15 ou 20 caractères ne change rien pour l’utilisateur au quotidien.
  • En revanche, à partir de 20 caractères, la robustesse du mot de passe augmente considérablement et réduit les risques de compromission.

Abandon des exigences de complexité

• Les exigences traditionnelles de caractères spéciaux sont officiellement abandonnées. Ces règles de composition créent des mots de passe suivant des modèles prévisibles facilement devinables par les attaquants. Le NIST encourage maintenant l’utilisation de phrases de passe mémorables incluant tous types de caractères, y compris les espaces.
• Plus de règles de complexité arbitraires :
  • Pas d’exigences type “majuscule + chiffre + symbole” :
    • on privilégie des phrases secrètes longues et mémorisables.

Fin des réinitialisations forcées

• Les réinitialisations périodiques obligatoires (mensuelles ou trimestrielles) sont considérées comme une mauvaise pratique. Le NIST stipule que les réinitialisations ne doivent être imposées qu’en cas de preuves de compromission. Cette pratique affaiblit paradoxalement la sécurité en poussant les utilisateurs vers des mots de passe plus faibles.

Ne laissez pas vos accès exposés

Changements techniques majeurs

Listes de blocage renforcées

Les organisations doivent maintenir des listes de blocage incluant :

• Mots de passe compromis dans des violations de données

• Mots de passe couramment utilisés (ex: « 1234 »)

• Variations du nom de l’employé ou de l’entreprise

• Modèles prévisibles

Élimination des questions de sécurité

• Les méthodes de récupération basées sur la connaissance (« Quel est votre animal de compagnie ? ») sont formellement déconseillées. Ces informations sont facilement obtenues via les réseaux sociaux. Le NIST recommande l’utilisation de liens de récupération sécurisés et de codes de vérification.
• NDLR,et conseils de chez Eur’Net
  • Grâce à un gestionnaire de mots de passe, vous pouvez également piéger les questions de sécurité souvent utilisées comme seconde méthode d’authentification.
  • Par exemple, au lieu de répondre « Médor » à la question « Quel est le nom de votre chien ? », rien ne vous empêche d’utiliser une réponse aléatoire du type « dcr7ver54v,6f@e4b65g4nb6g5 ».
  • Cette méthode est à la fois simple, efficace et quasi imparable, surtout lorsqu’elle est gérée automatiquement par un gestionnaire fiable.

Outils de sécurité modernes

Les nouvelles directives exigent :

• Limitation des tentatives de connexion échouées

• Authentification multifacteur (2/MFA) obligatoire

• Gestionnaires de mots de passe d’entreprise

Sécurisez vos accès avant qu’il ne soit trop tard

Exigences techniques NIST SP 800-63B

Selon la publication officielle NIST SP 800-63B, les exigences techniques strictes incluent :

Stockage sécurisé

• Les mots de passe DOIVENT être stockés sous forme salée et hachée résistante aux attaques hors ligne

• Utilisation de schémas de hachage approuvés (SP800-132)

• Facteur de coût aussi élevé que pratiquement possible

Communication chiffrée

• Les échanges DOIVENT utiliser des canaux protégés authentifiés

  • Envoyer un mot de passe via une messagerie chiffrée comme Signal ou Olvid (avec chiffrement de bout en bout)

  • Partager un document confidentiel via une plateforme sécurisée avec authentification (ex : Nextcloud)

• Chiffrement approuvé obligatoire pour toutes les communications

Normalisation Unicode

• Application recommandée de la normalisation NFC pour les caractères Unicode

• Avertissement aux utilisateurs sur les variations de représentation des caractères

Passez à la norme

Règles de gestion des mots de passe 2025

Règles techniques

À intégrer telle quelle dans votre PSSI/politique d’authentification (conforme NIST SP 800-63B-4, avec durcissements là où indiqué).

• Longueur & format :

  • Comptes sans MFA résistante au phishing : ≥ 15 caractères (exigence NIST).

  • Comptes avec MFA active : ≥ 12 caractères (plus strict que le minimum NIST de 8).

  • Accepter jusqu’à ≥ 64 caractères, tous caractères ASCII + Unicode (espaces inclus). Ne pas tronquer en vérification.

• Composition :

  • Aucune règle de complexité imposée.

  • Interdire les indices/“hints” et interdire les questions de sécurité.

• Blocage & vérifications :

  • Vérifier chaque nouveau mot de passe contre une blocklist alimentée par : bases de fuites, dictionnaires, termes liés au service/à l’utilisateur (nom, email, marque).

    • Refuser et expliquer le refus lorsqu’un mot de passe est listé.

• Rotation : 

  • Aucune expiration périodique.

  • Changement immédiat s’il existe un indice de compromission (alerte SIEM, fuite, signalement utilisateur).

• Stockage & transmission : 

  • Toujours via canal protégé authentifié (TLS moderne).

  • Stocker haché + salé avec fonction adaptée (ex. Argon2id, scrypt, bcrypt ou PBKDF2 bien paramétrée), selon votre référentiel crypto.

• Tentatives & anti-bruteforce : 

  • Rate-limiting sur les échecs (progressif, verrouillage temporisé, surveillance).

• Ergonomie & gestion : 

  • Autoriser le coller/autofill et l’usage de gestionnaires de mots de passe approuvés.

  • Proposer l’affichage du mot de passe pendant la saisie.

• MFA/passekeys (objectif 2025-2026) : 

  • MFA obligatoire pour comptes sensibles ; préférer les authentificateurs résistants au phishing (FIDO2/WebAuthn/passkeys).

  • Viser la réduction progressive de la dépendance au mot de passe sur les périmètres compatibles (passwordless).

• Sensibilisation & support : 

  • Former à la création de phrases secrètes et au gestionnaire d’identifiants ; publier un guide interne simple (exemples de passphrases, bonnes pratiques).

Règles organisationnelles

• Réinitialisation : Uniquement sur preuve de compromission

• Récupération : Liens sécurisés et codes de vérification uniquement

• Formation : Sensibilisation aux phrases de passe mémorables

• Outils : Déploiement obligatoire de gestionnaires de mots de passe

• MFA : Authentification multifacteur pour tous les accès critiques

Règles de conformité

• Audit : Révision des politiques existantes contre les nouvelles directives

• Mise à jour : Reconfiguration des systèmes d’authentification

• Surveillance : Limitation automatique des tentatives de connexion

• Documentation : Politiques clairement communiquées aux employés

• Contrôle : Vérification régulière de l’adhérence aux nouvelles pratiques

Ces nouvelles directives représentent un paradigme fondamental dans la sécurité des mots de passe, abandonnant les pratiques contre-productives au profit d’approches scientifiquement validées qui améliorent à la fois la sécurité et l’expérience utilisateur.