Expiration périodique des mots de passe : inutile, selon Microsoft !

Dans un billet publié sur un des ses blogs de sécurité, Microsoft annonce avoir décidé d’abandonner sa politique d’expiration des mots de passe, qui obligeait les gens à changer périodiquement leur mot de passe.

Leur justification est la suivante : si une organisation a mis en place une liste de mots de passe interdits, une authentification multifacteur, une détection des attaques de mots de passe et des tentatives de connexion anormales, a-t-elle encore besoin d’une expiration périodique des mots de passe ? Et si elle n’a pas mis en œuvre des mesures modernes de ce type, quel degré de protection gagne-t-elle réellement avec une expiration des mots de passe ? « L’expiration périodique des mots de passe est une méthode de mitigation des risques ancienne et obsolète de très faible valeur ».

Un article à lire et à méditer 😉

(source : Password expiration is dead, long live your passwords)