Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Comment configurer les composants clés d’une politique de mots de passe dans Active Directory
Une fois que vous avez planifié une nouvelle politique de mots de passe, il vous faut la mettre en pratique en définissant les bonnes configurations dans votre Active Directory. Si vous êtes encore au stade de la planification, nous vous recommandons de consulter nos conseils stratégiques pour la planification d’une politique de mots de passe. Mais si vous êtes à la recherche de conseils sur la manière de mettre en place des éléments de votre nouvelle politique, vous êtes au bon endroit. Nous allons voir comment les définir dans vos outils Active Directory par défaut et où les configurer si vous utilisez Specops Password Policy.
Ces étapes proviennent de notre récent rapport : ‘Comment déployer une politique de mot de passe dans Active Directory : guide complet‘. En plus de l’aide à la configuration, vous recevrez des conseils de planification, des conseils pour un déploiement fluide et des conseils relatifs à la communication avec l’utilisateur final. Téléchargez le rapport complet ici.
Mise en place des composants de la politique de mots de passe
Nous allons vous expliquer comment configurer les composants clés suivants. Cette liste n’est pas exhaustive, mais voici cinq paramètres que nous nous attendons à ce que presque toutes les politiques de mot de passe couvrent :
1. Longueur du mot de passe
2. Complexité du mot de passe
3. Interdiction de mots de passe
4. Expiration du mot de passe
5. Historique du mot de passe
Longueur du mot de passe
Les mots de passe longs sont beaucoup plus difficiles à déchiffrer par des techniques de force brute. Nous recommandons d’aller bien au-delà des huit caractères standard utilisés par de nombreuses organisations – des mots de passe de 15 caractères ou plus sont préférables. Encourager les utilisateurs finaux à créer des passphrases est le meilleur moyen d’obtenir des mots de passe forts mais faciles à retenir.
Dans Active Directory, vous pouvez définir une longueur de base pour tous vos utilisateurs à l’aide de la stratégie de groupe :
Si vous souhaitez appliquer des longueurs différentes à des sous-ensembles d’utilisateurs (définis par des groupes de sécurité), vous pouvez utiliser la stratégie de mots de passe à granularité fine (FGPP), qui peut être configurée à l’aide du centre d’administration Active Directory (ADAC) :
Voici où définir la longueur du mot de passe dans Specops Password Policy :
Ou bien ici si vous utilisez des passphrases :
Complexité du mot de passe
L’ajout d’exigences de complexité augmente considérablement les combinaisons de caractères possibles. 22,7 milliards d’années seraient nécessaires pour déchiffrerun mot de passe haché MD5 de 15 caractères composé de chiffres, de lettres majuscules, de lettres minuscules et de symboles. En revanche, un mot de passe tout aussi complexe, composé de huit caractères, ne prendrait que trois heures à craquer. Il est donc important de combiner longueur et complexité.
Il n’existe pas de contrôle sur la « complexité » dans la stratégie de groupe de Microsoft ou dans les paramètres de la stratégie de mots de passe à granularité fine. On peut tout simplement choisir de l’activer ou non, ce qui signifie que :
- 3 des 5 types de caractères différents (majuscules, minuscules, chiffres, spéciaux et Unicode)
- Ne doivent pas contenir votre nom d’utilisateur (prénom, nom de famille, nom d’affichage ou nom de compte sAMA)
Politique de groupe :
Politique de mots de passe à granularité fine :
C’est ici que l’on peut définir la complexité du mot de passe dans Specops Password Policy :
Les passphrases ne requièrent généralement pas de critères de complexité, c’est leur longueur qui fait leur force. Cependant, vous pouvez utiliser des expressions du quotidien pour créer votre propre définition d’une passphrase :
Interdictions de mots de passe
Vous pouvez choisir d’interdire certaines listes de mots de passe connus ayant fait l’objet d’une compromission. Avec certains outils, il est également possible de créer des dictionnaires personnalisés de mots spécifiques à votre organisation ou à votre secteur d’activité. Par exemple, une liste qui reprendrait des noms de sociétés ou de produits que les utilisateurs finaux pourraient être tentés d’utiliser.
Malheureusement, cette fonctionnalité n’est pas disponible dans les outils standard de Microsoft AD. Voici où interdire des ensembles spécifiques de mots de passe dans Specops Password Policy :
Expiration des mots de passe
Les directives précédentes suggéraient aux organisations d’exiger des changements de mots de passe tous les 60, 90 ou 120 jours. Cependant, cela conduit souvent les utilisateurs à changer « Motdepasse1″ en « Motdepasse2″.. Réfléchissez au meilleur cycle de changement de mot de passe pour votre organisation – vous trouverez plus d’informations sur les bonnes pratiques en matière d’expiration des mots de passe ici.
N’oubliez pas que Specops Password Policy vous permet également de récompenser les utilisateurs qui définissent des mots de passe plus longs en leur accordant des délais d’expiration plus longs. C’est ce que nous appelons la durée de vie des mots de passe basée sur la longueur. Dans l’exemple ci-dessous, vous pouvez constater que bien que cette politique permette toujours le recours à des mots de passe plus courts, les mots de passe plus longs, entre 15 à 19 caractères, sont récompensés par une expiration d’un an et si un utilisateur choisit une passphrase de plus de 20 caractères, elle n’expirera que si le mot de passe est compromis.
Voici comment configurer l’expiration des mots de passe et la durée de vie basée sur la longueur dans Specops Password Policy :
Microsoft n’a pas de concept de durée de vie basée sur la longueur, mais vous pouvez configurer différents délais d’expiration par politique, par exemple la stratégie de groupe Expiry définira vos paramètres globaux, puis utilisera Fine Grain Password Policy pour appliquer un délai d’expiration différent à un autre groupe d’utilisateurs.
Politique de groupe :
Politique de mots de passe à granularité fine :
Historique des mots de passe
L’historique des mots de passe détermine le nombre de mots de passe uniques qu’un utilisateur doit utiliser avant de pouvoir réutiliser un ancien mot de passe. Il s’agit d’un paramètre important en raison de la fréquente réutilisation des mots de passe et des risques qui en découlent.
Vous pouvez définir l’historique des mots de passe dans la stratégie de groupe :
Ainsi qu’avec la stratégie de mot de passe à granularité fine :
Voici comment configurer l’historique des mots de passe dans Specops Password Policy :
Assurez-vous de pouvoir vérifier les mots de passe compromis
Les politiques de mots de passe peuvent empêcher la création de mots de passe faibles, mais les mots de passe forts peuvent également être compromis. Notre étude a révélé que 83 % des mots de passe compromis étaient conformes à la plupart des normes réglementaires. Ces mots de passe peuvent avoir été compromis par des attaques de phishing, volés par des logiciels malveillants ou piratés lors de la réutilisation de mots de passe (par exemple, un employé réutilise son mot de passe Active Directory professionnel sur un site personnel douteux qui est piraté). Certains outils vérifient les listes de mots de passe compromis uniquement à l’occasion d’événements d’expiration ou de réinitialisation, mais cela peut s’avérer insuffisant.
Un outil comme Specops Password Policy avec Breached Password Protection offre une fonction de scan continu qui vérifie tous vos mots de passe Active Directory par rapport à notre API Breached Password Protection afin de détecter les compromissions une fois par jour. Cela permet de se protéger contre l’utilisation de plus de 4 milliards de mots de passe uniques compromis connus.
Notre base de données comprend des données de mots de passe provenant de fuites connues, notre propre système de pot de miel qui recueille les mots de passe utilisés dans des attaques par pulvérisation de mots de passe réels, et des informations d’identification volées obtenues par des logiciels malveillants. Vous souhaitez en savoir plus ? Essayez Specops Password Policy gratuitement.
Les recommandations de ce blog vous ont semblé utiles ? Lisez le rapport complet «Comment déployer une politique de mot de passe dans Active Directory : étape par étape» ici.