Expiration de mots de passe imposée

Des paramètres d'expiration de mots de passe mal configurés dans Microsoft Entra ID, qui obligent les utilisateurs à changer régulièrement de mot de passe, peuvent créer par inadvertance des failles de sécurité. Les stratégies d'expiration traditionnelles reposent sur l'hypothèse dépassée selon laquelle les utilisateurs doivent mettre fréquemment à jour les identifiants compromis. En réalité, les changements fréquents de mot de passe entraînent souvent l'utilisation de schémas prévisibles ou de petites variantes des mots de passe précédents. Cela a pour effet de réduire la complexité globale des mots de passe et de rendre les comptes plus vulnérables aux attaques par force brute et par dictionnaire.

Les changements de mot de passe obligatoires peuvent augmenter le risque de stockage non sécurisé, car les utilisateurs peuvent écrire leurs mots de passe, les stocker dans des emplacements non approuvés ou créer des modèles faciles à deviner pour les mémoriser. Ce comportement compromet la sécurité et peut conduire à des accès non autorisés. En imposant l'expiration des mots de passe, les organisations peuvent involontairement inciter les utilisateurs à contourner les bonnes pratiques, ce qui en fin de compte augmente la surface d'attaque.

La stratégie MS.AAD.6.1v1 de la CISA « M365 Secure Configuration Baseline for Microsoft Entra ID » (Référence de configuration sécurisée de M365 pour Microsoft Entra ID), rendue obligatoire par la directive BOD 25-01, stipule que « les mots de passe utilisateur NE DOIVENT PAS expirer ». Un défaut de conformité peut avoir des conséquences réglementaires et opérationnelles, en particulier pour les agences fédérales et les sous-traitants régis par la CISA. Dans le paysage actuel de la sécurité, l'application de l'expiration des mots de passe ne respecte pas les principes de sécurité axés sur l'identité, qui priorisent la surveillance continue, l'accès conditionnel et les contrôles basés sur les menaces plutôt que des stratégies de cycle de vie des mots de passe rigoureuses. Les directives modernes de la norme NIST SP 800-63 déconseillent également la rotation arbitraire des mots de passe, stipulant que des modifications périodiques obligatoires sans preuve de compromission peuvent réduire le caractère aléatoire des mots de passe et affaiblir la sécurité globale. Cet indicateur d'exposition détecte les domaines qui permettent l'expiration des mots de passe après une certaine période.

Activez le paramètre « Définir un mot de passe pour qu'il n'expire jamais » dans Microsoft Entra ID pour supprimer la stratégie d'expiration des mots de passe.

Les mots de passe doivent être considérés comme des secrets statiques et la création de mot de passe doit être sécurisée par le biais de directives rigoureuses et de mécanismes fiables de récupération des comptes. Essayez de détecter les comportements anormaux et les tentatives d'accès non autorisés plutôt que d'imposer des changements de mot de passe après une certaine période.

Au lieu d'imposer régulièrement des changements de mots de passe, concentrez-vous sur des méthodes telles que l'authentification multifacteur (MFA), les stratégies d'accès conditionnel ou les options sans mot de passe telles que les clés FIDO2. Ces méthodes renforcent la sécurité en réduisant la dépendance à l'égard des mots de passe et en veillant à ce que seuls les utilisateurs validés puissent accéder à vos comptes, quelle que soit l'ancienneté du mot de passe.

Enfin, le fait de suivre les recommandations de la CISA vous aide à réduire la dette technique et rend votre système d'identité plus fort et plus fiable.

Nom: Expiration de mots de passe imposée

Nom de code: PASSWORD-EXPIRATION-ENFORCED

Sévérité: Low

Type: Microsoft Entra ID Indicator of Exposure