Que dit la recommandation moderne NIST 800-63B sur les mots de passe ?
Réponse courte
Le NIST SP 800-63B moderne privilégie la longueur à la complexité : autoriser de longues phrases secrètes (au moins 8, en prendre en charge 64+), accepter tous les caractères y compris les espaces, et ne pas imposer de règles de composition comme « une majuscule, un symbole ». Filtrer les nouveaux mots de passe contre les listes de mots de passe compromis, abandonner l'expiration périodique obligatoire (renouveler uniquement en cas de preuve de compromission), et abandonner les « questions de sécurité » fondées sur la connaissance. Le but : des règles qui résistent aux vraies attaques au lieu d'agacer les utilisateurs vers des schémas prévisibles.
L'ancien conseil — « 8 caractères, une majuscule, un chiffre, un symbole, à changer tous les 90 jours » — s'est révélé rendre les mots de passe pires. Le NIST SP 800-63B a réécrit la recommandation autour de ce qui résiste réellement aux attaques.
La longueur l'emporte sur la complexité
Le changement phare : priorisez la longueur, pas la composition. Exigez un minimum raisonnable (au moins 8), mais prenez en charge de longues phrases secrètes (64+ caractères) et acceptez tous les caractères imprimables, y compris les espaces et les emojis. Une phrase secrète longue et mémorisable a bien plus d'entropie et est plus facile à retenir que P@ss1! — vers lequel les règles de composition ne font que pousser tout le monde.
Crucialement, le NIST dit de ne pas imposer de règles de composition (« doit contenir... »). Elles poussent prévisiblement les utilisateurs vers les mêmes schémas faibles (Password1!) que les règles de cassage des attaquants anticipent déjà.
Filtrer contre les mots de passe compromis
Quand un utilisateur définit ou change un mot de passe, vérifiez-le contre une liste de mots de passe connus comme compromis (p. ex. issus de corpus publics de fuites) et rejetez les correspondances. Cela émousse directement le credential stuffing, où les attaquants rejouent des mots de passe divulgués. C'est de plus grande valeur que n'importe quelle règle de composition.
Cesser l'expiration périodique forcée
Le NIST a supprimé la rotation périodique obligatoire. Forcer des changements tous les 90 jours ne produit que Printemps2026! → Été2026!. À la place, renouvelez uniquement en cas de preuve de compromission. L'expiration de routine ajoute de la friction sans sécurité.
Autres bonnes et mauvaises pratiques modernes
- Autorisez le collage et les gestionnaires de mots de passe — ils permettent des mots de passe forts et uniques.
- Abandonnez les « questions de sécurité » fondées sur la connaissance (« premier animal ») — les réponses sont devinables ou trouvables via l'OSINT.
- Proposez un bouton « afficher le mot de passe » et ne tronquez pas silencieusement.
- Surtout, superposez la MFA — idéalement résistante au hameçonnage — car aucune politique de mot de passe seule ne suffit.
Ce que recherchent les recruteurs : vous énoncez la longueur plutôt que la complexité, le filtrage des mots de passe compromis et l'absence d'expiration forcée, et vous savez expliquer pourquoi les anciennes règles se retournaient contre elles — elles optimisaient l'apparence de sécurité plutôt que la résistance au cassage et au stuffing.
Questions de suivi probables
- Pourquoi la complexité imposée affaiblit-elle souvent les mots de passe en pratique ?
- Pourquoi le NIST a-t-il abandonné l'expiration périodique obligatoire des mots de passe ?
- Quelle est la valeur d'une vérification contre une liste de mots de passe compromis ?