Les systèmes Windows modernes (par exemple, Windows Server 2008 et 2008 R2) et Active Directory, comme les systèmes Linux et Solaris, vous permettent de configurer des stratégies de mot de passe qui déterminent la longueur et la complexité des mots de passe de vos utilisateurs, fournissant une première ligne de défense pour vos systèmes. Si vos systèmes Unix s’authentifient auprès d’AD, c’est ici que vous spécifiez toutes vos exigences en matière de mot de passe. Si Active Directory n’est que l’un des nombreux endroits où les stratégies de mot de passe sont configurées, il est toujours judicieux de s’assurer que de bons mots de passe sont utilisés. Avoir des normes de complexité similaires dans toute l’entreprise est une bonne stratégie car cela renforce l’importance des bons mots de passe dans sécuriser vos systèmes.

Windows et Active Directory vous permettent de spécifier un certain nombre de paramètres pour appliquer la sécurité par mot de passe. Les valeurs par défaut sont répertoriées dans le tableau ci-dessous.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Historique des mots de passe – combien de mots de passe seront mémorisés par le système. Avec la valeur par défaut, aucun des 24 mots de passe précédents ne peut être réutilisé lorsqu’un utilisateur change son mot de passe .

Âge maximum du mot de passe – durée pendant laquelle un mot de passe peut être utilisé avant de devoir être modifié. S’il est modifié, il est généralement défini sur 90 jours. Cela signifie que vos mots de passe doivent être modifiés tous les deux. mois.

Age minimum du mot de passe – combien de temps vos utilisateurs doivent attendre avant de pouvoir cha nge à nouveau un mot de passe. Si vos utilisateurs pouvaient changer leurs mots de passe immédiatement et que le système ne se souvenait que de quelques-uns des mots de passe précédents, il leur serait facile de ressusciter leurs mots de passe actuels, en utilisant essentiellement le même mot de passe pour toujours. Si vous les forcez à utiliser chaque nouveau mot de passe pendant un certain nombre de jours, la probabilité qu’ils recommencent à utiliser le mot de passe d’origine est mince. Si l’attente était de deux jours et que dix mots de passe seraient mémorisés, il faudrait 20 jours pour revenir au mot de passe d’origine. À ce moment-là, même les mots de passe les plus intelligents auront probablement perdu leur attrait.

L’inconvénient des règles relatives à l’âge minimum des mots de passe est que vos utilisateurs ne pourront plus changer leurs mots de passe tout de suite, même s’ils pensent que les mots de passe ont été compromis. Gardez cela à l’esprit si vous choisissez cette option et assurez-vous qu’une hotline est disponible pour les changements de mot de passe d’urgence.

Exigences de complexité du mot de passe – comprend un numéro des exigences qui sont configurées séparément sur les systèmes Linux et Solaris. Si ce paramètre est activé, comme c’est le cas par défaut, les mots de passe doivent comporter au moins six caractères et doivent contenir des caractères parmi trois des suivants: majuscules, minuscules, chiffres (0-9), des caractères spéciaux (par exemple,!, #, $) Et des caractères Unicode. De plus, le mot de passe ne doit pas contenir plus de deux caractères du nom d’utilisateur (à condition que le nom d’utilisateur comporte trois caractères ou plus).

Longueur minimale du mot de passe – combien les caractères doivent être inclus dans les mots de passe des utilisateurs. Bien que la valeur par défaut soit 7, quelque chose entre 8 et 12 est un meilleur choix. Vos utilisateurs hésiteront probablement à devoir se souvenir de quatre caractères supplémentaires, alors soyez prêt à proposer des suggestions sur la façon de rendre les mots de passe plus longs mémorables, par exemple ajouter quelques chiffres à chaque extrémité, ajouter les mots de passe avec l’anniversaire de leur meilleur ami ( par exemple, 0323) ou définir les mots de passe comme une courte phrase comme « want2goHome! ». Rappelez-leur que l’écriture de leurs mots de passe est toujours une très mauvaise idée, mais écrire quelque chose qui leur rappelle leurs mots de passe peut être acceptable, surtout s’ils ne le font pas « Il est évident qu’il » s’agit d’un mot de passe dont ils « essaient de se souvenir.

Durée du verrouillage du compte – combien de minutes un compte verrouillé reste verrouillé avant d’être déverrouillé. S’il est défini sur 0, cependant, un mot de passe reste verrouillé jusqu’à ce qu’un administrateur (une personne autorisée à effectuer ce type de modifications) le déverrouille. Ce paramètre dépend cependant du seuil de verrouillage du compte. En d’autres termes, si vous ne spécifiez pas que les comptes seront verrouillés après un certain nombre de tentatives de connexion infructueuses, il n’y a aucune importance à spécifier la durée de leur verrouillage.

Seuil de verrouillage de compte – le nombre d’échecs de connexion consécutifs qui entraîneront le verrouillage d’un compte. S’il est défini sur 0 (valeur par défaut), les comptes ne sont jamais verrouillés.

Le seul inconvénient de le paramètre de seuil de verrouillage de compte permet à un utilisateur de verrouiller le compte d’un autre utilisateur.

Réinitialiser le compteur de verrouillage de compte après – combien de minutes doivent s’écouler avant qu’un compteur de verrouillage ne soit réinitialisé à 0 (c’est-à-dire que le compte est déverrouillé). Cela peut aller de 1 minute à 99 999. Elle doit être inférieure ou égale à la durée de verrouillage du compte.

Appliquer les restrictions de connexion utilisateur – si le centre de distribution de clés Kerberos valide chaque demande de ticket de session par rapport à la politique des droits de l’utilisateur sur un ordinateur particulier.

Durée de vie maximale du ticket de service – durée maximale pendant laquelle un ticket de session peut être utilisé. Cela signifie que le système d’authentification sous-jacent de Windows (Kerberos) doit revalider une connexion à l’intervalle spécifié.

Durée de vie maximale du ticket utilisateur – durée maximale pendant laquelle le ticket d’octroi de ticket d’un utilisateur peut être utilisé. Après cela (10 heures par défaut) s’est écoulée, il doit être renouvelé.

Durée de vie maximale pour le renouvellement d’un ticket utilisateur – définit la période pendant laquelle un ticket peut être utilisé et renouvelé.

Tolérance maximale pour la synchronisation de l ‘horloge de l’ ordinateur – définit la différence de temps maximale autorisée entre l ‘heure de l’ horloge du client et celle du contrôleur de domaine. Il est destiné à empêcher ce que l’on appelle des « attaques par relecture » dans lesquelles une transmission de données valide est répétée ou retardée de manière malveillante ou frauduleuse.

Les paramètres par défaut des mots de passe sur Windows et Active Directory sont tout à fait raisonnables, même si je changerais la longueur minimale du mot de passe de 7 caractères en quelque chose de plus élevé. Bien que les fonctionnalités de verrouillage rendent le succès des attaques par mot de passe par force brute hautement improbable – si cela est défini et ce n’est pas le cas par défaut, la définition des attentes des utilisateurs selon lesquelles le mot de passe doit comporter plus de 8 caractères est susceptible d’améliorer la sécurité des autres comptes qu’ils utilisent .