Comment appliquer l’historique des mots de passe dans Active Directory

Le paramètre « Appliquer l’historique des mots de passe » dans Active Directory est utilisé pour déterminer le nombre de mots de passe uniques qu’un utilisateur doit utiliser avant de pouvoir réutiliser un ancien mot de passe. Il s’agit d’un paramètre important car la réutilisation du mot de passe est un problème courant – plus le même mot de passe (ou un mot de passe similaire) est utilisé, plus il y a de chances que le mot de passe soit compromis lors d’une attaque par force brute par exemple, ou même via le vol de données par espionnage par-dessus l’épaule. Notez qu’une fois qu’un compte a été compromis, il est conseillé de ne pas l’utiliser à nouveau, car il peut avoir été associé à un script qui peut changer le mot de passe en un mot de passe connu à un moment précis. Il est donc recommandé de créer un nouveau compte pour un utilisateur en cas de compromission.

Le paramètre par défaut pour « Appliquer l’historique des mots de passe » est également sa valeur maximale, qui est de 24. Il est généralement configuré dans le GPO de politique de domaine par défaut, mais peut être configuré dans une autre politique unique qui s’appliquerait à l’ensemble du domaine. Vous pouvez avoir différents paramètres dans un même domaine si vous utilisez la FGPP, mais il n’y a généralement pas de raison qui pousserait les organisations à choisir une autre valeur par défaut que 24 pour tous ses utilisateurs.

Le paramètre « Appliquer l’historique des mots de passe » a ses limites. Premièrement, cela n’empêche pas l’utilisateur d’utiliser des mots de passe incrémentiels, par exemple Password1 et de le changer en Password2, Password3, etc.

Le paramètre «  Appliquer l’historique des mots de passe »  est couramment utilisé avec le paramètre d’« Âge minimal du mot de passe » qui empêche l’utilisateur de changer rapidement son mot de passe pour revenir au même mot de passe. Vous pouvez également spécifier « l’âge maximal du mot de passe » pour forcer les utilisateurs à changer leurs mots de passe à intervalles réguliers (60, 90, 120 jours) – ce paramètre particulier étant maintenant remis en question suite aux dernières directives sur les mots de passe du NIST. Dans le cas où les utilisateurs changent rarement (voire jamais) leurs mots de passe, la règle d’historique des mots de passe peut potentiellement avoir moins de valeur. De plus, la définition de mots de passe pour qu’ils n’expirent jamais pourrait ne pas convenir à votre organisation si d’autres réglementations de conformité stipulent le contraire. Voici comment vérifier dans votre Active Directory les mots de passe conditionnés pour ne jamais expirer.

Les comptes administrateur doivent changer leurs mots de passe tous les 30 à 45 jours. À mon avis, cette approche ne devrait être adoptée que si d’autres règles sont appliquées, c’est-à-dire que vous disposez d’une méthode de blocage des mots de passe faibles/divulgués et des mots de passe incrémentiels – tout en imposant l’utilisation de phrases secrètes plus longues – et d’un moyen de détecter les connexions inhabituelles (par exemple, ouvertures de session depuis l’extérieur du réseau ou depuis des appareils inhabituels).

Définir l’historique des mots de passe sur 24 reste la méthode recommandée et cela a du sens. Comme indiqué, l’utilisation de cette règle seule avec la stratégie de mot de passe Native AD présente des faiblesses. L’utilisation d’un outil tiers tel que Specops Password Policy peut vous aider à résoudre ces problèmes. Il vous permet de bloquer les mots de passe incrémentiels et les fuites de mots de passe, tout en encourageant l’utilisation de phrases secrètes plus longues en prolongeant l’âge maximal du mot de passe lorsqu’un utilisateur dépasse la longueur minimale du mot de passe.