Avec la dernière recommandation du NIST, nous avions enfin une raison légitime de benner les anciennes politiques de mot de passe avec renouvellement périodique. Encore fallait-il oser le faire (et vérifier que son cadre réglementaire le permettait). J’ai tenté l’expérience, voici mes conclusions.
Avant de commencer, il est utile de préciser que le changement de mot de passe s’effectue exclusivement sur une page web.
Situation À l’origine, plus de 70 % des mots de passe de l’Active Directory (AD) succombaient à une attaque.