Flexible Security for Your Peace of Mind

Comment réinitialiser les mots de passe et mettre à jour les informations d’identification locales en cache pour les utilisateurs distants ?

Si vous n’utilisez pas une solution en libre-service pour permettre aux utilisateurs distants de réinitialiser leurs mots de passe, vous voudrez peut-être trouver une solution de rechange lorsque ces mots de passe finiront par expirer. Le problème réside dans les informations d’identification locales mises en cache (cached credentials). Normalement, elles permettent aux utilisateurs d’être vérifiés pour l’authentification lorsqu’un contrôleur de domaine ne peut être atteint. Lorsque l’on travaille à distance, cela crée un problème lorsque le mot de passe est modifié ou réinitialisé. Les anciennes informations d’identification seront toujours mises en cache et ne seront pas automatiquement remplacées par les nouvelles informations d’identification utilisant le nouveau mot de passe. L’utilisateur sera bloqué dans son compte, ou se retrouvera dans un scénario où il devra se souvenir à la fois de l’ancien et du nouveau mot de passe, ce qui peut être très déroutant. Ce blog propose quelques solutions pour résoudre le problème de l’expiration des mots de passe.

Faut-il définir des mots de passe qui n’expirent jamais ?

La solution la plus évidente est de faire en sorte que les mots de passe n’expirent jamais. De nombreux organismes affirment déjà que l’expiration des mots de passe est un concept en voie de disparition. Bien sûr, vous pouvez y réfléchir à deux fois s’il y a un risque que les utilisateurs utilisent des mots de passe vulnérables. Avant de procéder à ce changement, utilisez notre outil gratuit pour vérifier quels comptes utilisent des mots de passe vulnérables dans Active Directory. L’outil peut également identifier les comptes qui utilisent les mêmes mots de passe par défaut. Vous pouvez utiliser ces informations pour encourager l’utilisation de mots de passe plus forts, avant de les programmer pour ne jamais expirer.

Envoi d’e-mails d’expiration de mot de passe

Si l’expiration des mots de passe est une obligation, vous devrez vous assurer que les utilisateurs distants modifient leurs mots de passe avant leur expiration, lorsqu’ils sont connectés au réseau d’entreprise par un VPN. Pour ce faire, vous pouvez envoyer des rappels d’expiration de mot de passe par courriel aux utilisateurs. N’oubliez pas que de nombreux rappels à l’écran existants ne fonctionneront plus, même en VPN. Specops propose un outil de notification de mot de passe qui compare l’attribut pwdLastSet avec l’âge maximal du mot de passe dans la politique de domaine par défaut, ou dans la politique de mot de passe à grain fin, pour envoyer des e-mails de notification aux utilisateurs concernés par une GPO configurée. En encourageant les utilisateurs à changer leurs mots de passe avant qu’ils n’expirent, vous pouvez éviter complètement le problème des justificatifs en cache.

Réinitialisation du mot de passe à distance : Étape par étape

En cas d’expiration des mots de passe, les utilisateurs devront contacter le Service Desk pour réinitialiser leur mot de passe. Votre Service Desk dispose-t-il d’un moyen sécurisé pour vérifier l’utilisateur à l’autre bout du fil ? La plupart des organisations n’ont pas mis en place un processus sécurisé. Si vous vous fiez aux noms des managers, aux identifiants des employés ou aux questions de sécurité, vous laissez le Service Desk vulnérable aux attaques par ingénierie sociale.

Une fois que le Service Desk a vérifié l’utilisateur, il peut procéder à la réinitialisation de son mot de passe. Ce faisant, il devra décocher la case “l’utilisateur doit changer son mot de passe à la prochaine connexion”, car cela interfère encore plus avec le problème des données d’identification en mémoire cache, et l’utilisateur n’aura généralement aucun moyen de le faire s’il travaille à distance. Cela pose un nouveau problème de sécurité car le Service Desk connaîtra désormais le mot de passe de l’utilisateur. De plus, comme la plupart des employés du Service Desk utilisent des mots de passe par défaut lors d’un changement de mot de passe, le mot de passe peut être facilement deviné s’il reste inchangé.

Une fois que le Service Desk a changé le mot de passe, il faut communiquer ce qui suit à l’utilisateur. En fonction des compétences techniques de l’utilisateur, cela peut constituer un obstacle supplémentaire.

  • Assurez-vous que tout appareil, par exemple un téléphone portable, qui tente de se connecter à votre compte avec le mot de passe expiré, est éteint.
  • Connectez-vous à leur machine avec le mot de passe expiré (en cache).
  • Se connecter au VPN de l’entreprise (en général, cela nécessite le nouveau mot de passe défini par le Service Desk).
  • Utilisez CTRL + Alt + Suppr, Changer le mot de passe et entrez le mot de passe fourni par le Service Desk.
  • Créez un nouveau mot de passe unique, qui n’est pas connu du Service Desk, et confirmez-le à nouveau.
  • Verrouillez l’écran, puis déverrouillez-le avec votre nouveau mot de passe pour synchroniser les informations d’identification mises en cache avec les informations d’identification définies dans Active Directory.

Si l’utilisateur ne se souvient pas du mot de passe expiré (mis en cache), il devra soit apporter l’appareil au bureau, soit essayer ce qui suit :

  • Se connecter avec un autre compte – généralement un compte administrateur local qui peut être activé ou non.
  • Se connecter au VPN avec son nom d’utilisateur et le nouveau mot de passe réinitialisé.
  • Appuyez sur Ctrl-Alt-Suppr
  • Changer le mot de passe
  • Changez le nom d’utilisateur pour le compte de l’utilisateur du domaine
  • Tapez le mot de passe nouvellement réinitialisé
  • Tapez deux fois le nouveau mot de passe
  • Espérons que les règles de complexité sont correctes.
  • Changer d’utilisateur
  • Espérons que le VPN reste en place
  • Se connecter avec son compte AD habituel et son nouveau mot de passe.

Si le Service Desk a de la chance, l’utilisateur aura réussi. Dans le cas contraire, il devra poursuivre le dépannage jusqu’à ce que l’utilisateur soit à nouveau opérationnel. Bien que cette situation soit prévisible, elle peut s’avérer particulièrement pénible lorsque l’ensemble de l’organisation travaille à distance.

Mettre à jour les informations d’identification en cache avec la réinitialisation du mot de passe

Si vous devez libérer des ressources informatiques, vous aurez besoin d’une solution en libre-service pour gérer la réinitialisation des mots de passe à distance. Notre outil de réinitialisation des mots de passe permet aux utilisateurs de réinitialiser en toute sécurité leurs mots de passe Active Directory directement à partir de l’écran de connexion de Windows. La solution empêche également le verrouillage des comptes en mettant à jour les informations d’identification locales en cache, même lorsqu’un contrôleur de domaine ne peut être joint.

Contactez-nous pour plus d’informations sur notre solution de réinitialisation de mot de passe, ou demandez un essai gratuit.

(Dernière mise à jour le 29/08/2023)

Tags: ,

Revenir sur le blog