La durée de vie d’un mot de passe basée sur sa longueur ? Qu’est-ce que c’est ? Comment est-elle utilisée et mise en œuvre ? 

Qu’est-ce que la durée de vie d’un mot de passe basée sur sa longueur ?

La durée de vie d’un mot de passe basée sur sa longueur est un système qui récompense les utilisateurs qui ont des mots de passe plus longs et plus sûrs. 

Comment cela fonctionne ? 

Ce système ajoute des jours supplémentaires de validité à un mot de passe avant son expiration en fonction du nombre de caractères qu’il contient. Dans l’exemple ci-dessous, l’âge maximal du mot de passe est fixé à 90 jours, de sorte que tout mot de passe, quelle que soit sa longueur, expirerait au bout de 90 jours dans le cadre d’une politique de mot de passe classique. Avec la durée de vie du mot de passe basé sur la longueur, 90 jours de validité constituent le niveau de base pour tout mot de passe d’une longueur comprise entre 8 et 12 caractères. Dans ce cas, si un mot de passe comporte 13 caractères ou plus, 30 jours supplémentaires seront accordés à son utilisateur avant que son mot de passe n’expire, soit 120 jours au lieu de 90. Pour en savoir plus sur les paramètres permettant de configurer votre politique de mots de passe, cliquez ici. 

Comment mettre en œuvre cette politique dans mon environnement ? 

Quelques points sont à prendre en compte : 

Assurez-vous que la politique de domaine par défaut est bien définie avec un jour de plus que le niveau le plus élevé de votre politique d’expiration basée sur la durée. Dans l’exemple ci-dessus, le niveau le plus élevé expire après 120 jours, nous allons donc fixer l’âge maximum du mot de passe de notre politique de domaine par défaut à 121. (Remarque : si la politique de domaine par défaut n’est pas adaptée en conséquence, les mots de passe risquent d’expirer prématurément.) 

Si vous avez activé le paramètre « Désactiver l’expiration pour le dernier niveau », définissez l’âge maximum du mot de passe de votre stratégie de domaine par défaut sur 0. 

1. Assurez-vous que les groupes ou les utilisateurs auxquels vous voulez donner la possibilité de lire la date d’expiration personnalisée associée à la durée de vie d’un mot de passe basée sur sa longueur soient bien membres de ce groupe : 

2. Les utilisateurs devront alors réinitialiser leur mot de passe pour que la politique d’expiration basée sur la longueur prenne effet. 

Comment puis-je savoir si un utilisateur est concerné par une politique d’expiration basée sur la longueur ? 

Vous pouvez utiliser PowerShell ou Specops Password Auditor qui sont détaillés ici. 

Une troisième façon consiste à regarder directement dans Active Directory. 

Assurez-vous que les options suivantes sont bien sélectionnées : 

Localisez ensuite l’utilisateur dans Active Directory, développez l’objet utilisateur et examinez les propriétés de l’objet specops-spp-pwdHistory. En regardant l’onglet des attributs, nous constatons la valeur de l’attribut flags. Cette valeur indique le nombre de jours associés au niveau d’expiration du mot de passe :

Si la valeur est 2147483647, cela signifie que la politique de vieillissement des mots de passe basée sur la longueur a été définie pour désactiver l’expiration pour le dernier niveau et que le mot de passe de l’utilisateur était suffisamment long pour ne pas expirer.

Remarque : la valeur 2147483647 n’a pas été choisie au hasard ici : https://en.wikipedia.org/wiki/2,147,483,647

Une autre option consiste à installer Active Directory Users and Computers sur le serveur où se trouvent les outils d’administration du domaine de la stratégie de gestion des mots de passe. Cela permettra de vérifier les utilisateurs individuels en cliquant avec le bouton droit de la souris sur les utilisateurs et les ordinateurs d’Active Directory et en utilisant le menu contextuel.