Responsable informatique et gestion des mots de passe des utilisateurs
C’est une question qui revient régulièrement, qui est souvent abordé sur nombre de sites internets ou dans la presse « papier ».
Et que l’on me pose régulièrement, soit des utilisateurs travaillant dans tous les secteurs ou dans les services informatiques (les responsables des réseaux, des serveurs et donc du paramétrage des mots de passe).
Comme toujours, le mieux est l’ennemie du bien, et saisir comme mot de passe lksjd§è65àç&mk52ééàç=?+=$$*$, c’est idiot et on a peu de chance de s’en souvenir, d’un autre côté utiliser comme mot de passe « 12345 » ou bien « 0000 » (si ça existe), c’est tout aussi idiot.
Rappelons qu’entreprise, ce ne sont pas les utilisateurs qui décident de la complexité des mots passe ou de la fréquence de changement, ce sont les services informatiques.
La fréquence du changement des mots de passe est LA GRANDE QUESTION !
Demander aux utilisateurs de changer trop rarement leurs mots de passes (quoique souvent cela se limite à un seul pour se connecter au réseau), cela revient à ce que, dans un service donné, tout le monde connaisse le mot de passe de tout monde.
Ne me dite pas que là où vous travailler, les gens autour de vous (et probablement vous-même) ne communiquent pas leur mot de passe, lorsqu’ils partent en congés (je ne vous croirai pas).
Je connais des entreprises où les utilisateurs doivent changer leur mot de passe seulement 1 fois par an, voire jamais !
D’un autre côté, faire les changer les mots de passe trop souvent va pousser les utilisateurs à les noter (et à les coller sous le clavier, sur le côté de l’écran, ou tout autre support à proximité de leur ordinateur). Et va conduire, ceux qui ne le font pas, à oublier le changement et à devoir appeler le « help desk », le « hot line », enfin le service informatique pour leur venir en aide. Perte de temps pour l’utilisateur et ressources supplémentaire à prévoir au niveau du service informatique pour répondre.
La complexité des mots de passe, que faut-il imposer ?
C’est un vaste problème qui ne doit pas être pris à la légère.
Il y a 2 choses, le nombre de caractères minimum, si en général, c’est au minimum 8 caractères, j’ai vu une décision idiote (et pourtant dans une très grande entreprise) imposant 20 caractères (ni plus ni moins) sans changement dans le temps (et qui peut être que des lettres), résultat, la plupart des utilisateurs se contentent de saisir « azertyuiopmlkjhgfdsq » (un aller avec la première ligne du clavier et un retour avec la seconde ligne du clavier)… pas top au niveau de la sécurité.
S’il faut fixer un nombre de caractères minimum, il faut aussi fixer un maximum, inutile de laisser partir les utilisateurs dans des délires qui ne servent à rien et qu’ils peuvent oublier les obligeant à demander l’aide du service informatique (et on repart dans la perte de temps pour l’utilisateur et le service informatique).
Il faut imposer une structure de mot de passe, suffisamment complexe mais pas trop pour que l’utilisateur puisse saisir celui-ci sans hésitation (il y a de nombreuses possibilités, avec des lettres en minuscules, en majuscules, des chiffres, des caractères spéciaux,…)
Il convient, également, de gérer le nombre de tentative avant blocage (temporaire ou définitif). Trop d’entreprises bloquent les ordinateurs au bout de 3 essais infructueux. C’est trop peu. L’utilisateur peut avoir oublié qu’il a changé son mot de passe la veille, il peut avoir son clavier qui a basculé en majuscule sans s’en apercevoir tout de suite, faire une faute de frappe sans s’en rendre compte,…
Face à ces éléments, il faut trouver un juste milieu, ça va dépendre des entreprises, de leur domaine d’activité, du nombre de salariés, de la moyenne d’âge,… pour imaginer la fréquence de changement, la complexité minimum des mots de passe et le blocage au bout de n essais infructueux.
Si vous êtes confronté à ce type de problématique, je peux vous aider, n’hésitez pas me contacter (olivier@notre-siecle.com )
