Le NIST (Institut national des normes et de la technologie des États-Unis) interdit d’exiger une composition spécifique des caractères pour les mots de passe

Les services qui imposent une longueur maximale courte, c’est quand même problématique.
En fait, pour les mots de passe,

joa-baekban0212341234dej-special1portioncarte-s-il-vous-plaît

même s’il s’agit d’une combinaison de « mots déjà existants », dès qu’on en enchaîne plusieurs, la difficulté augmente très fortement.

Dans notre entreprise aussi, les consignes ont changé au début de l’année et il faut désormais aligner au moins quatre mots anglais quelconques.
Du coup, je commence chaque journée en tapant une citation inspirante.

Même chez Coupang, dont la culture de développement est censée être plutôt meilleure, ils ont quand même limité discrètement la longueur du mot de passe à 16 caractères, sans aucun retour visuel. Il n’y a pas eu non plus d’e-mail de changement de mot de passe, et comme je ne pouvais plus me connecter sans aucune raison, j’ai cru m’être fait pirater.

Il y a apparemment plusieurs sous-domaines dans le développement. La sécurité et l’accessibilité semblent faire partie des domaines typiquement peu abordés. Si seulement une petite partie des efforts consacrés aux dark patterns…

Je viens de vérifier et la limite maximale a bien été ajustée à 20 caractères. Mais la page web d’inscription continue de limiter la longueur du mot de passe sans aucun message d’information ni retour visuel à ce sujet, alors que la page web de connexion n’impose aucune limite. À l’inverse, la page de modification du mot de passe dans l’application Android indique précisément les règles du mot de passe.

On a l’impression que l’équipe Android et l’équipe frontend web ne sont pas du tout synchronisées.

Je pense que c’est un symptôme typique du travail en silos.

Rien n’est vraiment appliqué correctement...

S’il y a ici des personnes côté UI, merci de faire disparaître aussi les interfaces qui imposent de saisir le mot de passe via un clavier virtuel affiché à l’écran.
À l’origine, c’était sans doute pour éviter qu’un mot de passe soit exposé par un keylogger, mais aujourd’hui le risque qu’il soit filmé par les caméras omniprésentes un peu partout est bien plus grand.
C’est une UI qui me laisse perplexe à chaque fois, et je trouve étrange qu’elle soit encore maintenue.
J’ai même l’impression qu’on a déjà oublié que ça avait été conçu à cause des keyloggers, et qu’on continue juste à le faire parce que tout le monde fait pareil.

C’est parce qu’il s’agit de directives de sécurité gouvernementales. Je doute qu’il y ait la moindre entreprise qui veuille intégrer un clavier virtuel.

Dans diverses certifications standard aussi, il y en a beaucoup où les claviers virtuels sont obligatoires. Il y a plus d’exigences détaillées qu’on ne le pense, et si l’on n’utilise pas le produit existant (SDK) d’un fournisseur qui l’a déjà implémenté, l’évaluation peut prendre plus de temps, voire être rejetée. Honnêtement, on en viendrait presque à se demander si ce n’est pas un cartel des entreprises de sécurité.

C’est d’autant plus frustrant que non seulement les organismes publics, mais aussi des entreprises technologiques comme Naver ou Coupang font la même chose.

Là-bas, ils ne s’y conforment probablement qu’à contrecœur parce que le gouvernement leur ordonne de le faire, non ?

Je suis réticent à utiliser les sites qui limitent la longueur maximale du mot de passe à une douzaine de caractères environ ou qui n’autorisent pas les caractères spéciaux. J’y vois l’un des signes qu’ils ne prennent pas la sécurité au sérieux.

Avis sur Hacker News

• Le NIST fournit depuis 2017 des recommandations assouplissant les règles de composition des mots de passe

  • « Le vérificateur ne doit pas imposer d'autres règles de composition aux mots de passe mémorisés »
  • « Le vérificateur ne doit pas exiger des changements de mot de passe arbitraires »
  • « Il doit imposer un changement s'il existe des preuves de compromission de l'authentifiant »

• Le NIST ne définit pas directement les politiques, mais beaucoup d'autres politiques se réfèrent à la norme NIST 800-63

• Lors de l'inscription sur un site web, les règles du type « un bon mot de passe doit utiliser a, b, c » étaient extrêmement agaçantes

  • De nombreux développeurs de sites semblent mal comprendre ce qu'est un bon mot de passe

• Le NIST interdit aussi les « questions de sécurité » (par ex. : « Quel est le nom de jeune fille de votre mère ? »)

• Le NIST a fourni de mauvaises recommandations sur les mots de passe pendant des décennies, et ne passe que maintenant à une solution plus raisonnable

  • Beaucoup de logiciels ont été conçus sur la base de ces anciennes mauvaises recommandations, et il faudra longtemps pour les faire évoluer

• Il semble que l'exigence de « vérifier l'intégralité du mot de passe soumis » soit apparue à cause de problèmes liés à bcrypt

• Le NIST recommande une longueur maximale de mot de passe de 64 caractères (beaucoup de sites limitaient à 20 caractères, rendant les phrases de passe impossibles)

• Témoignage d'un utilisateur :

  • La banque de son épouse utilisait jusqu'au mois dernier un identifiant numérique pour la connexion
  • À partir de ce mois-ci, elle oblige les utilisateurs à choisir un nom d'utilisateur, qui doit contenir des majuscules et des chiffres
  • Cette banque est la 8e plus grande banque d'Europe

• Il existe un débat sur le fait d'exiger certains caractères : cela augmente-t-il ou réduit-il l'entropie ?

  • Exiger certains caractères réduit l'entropie, car cela diminue l'éventail des caractères que l'on peut choisir
  • Comme la plupart des utilisateurs choisissent des mots de passe faibles, exiger certains caractères peut augmenter l'entropie
  • Cependant, la plupart des utilisateurs placent ces caractères à des positions faciles à deviner, donc l'entropie diminuera malgré tout

• Certains attendent que le NIST remplace les mots de passe en clair par PAKE, et que le W3C mette en place un mécanisme pour cela

• Lien original : NIST SP 800-63b