Flexible Security for Your Peace of Mind
Specops Authentication Neue Version

Les bonnes pratiques en matière de stratégie d’expiration de mots de passe

Une politique de mots de passe efficace est un acte d’équilibre – la sécurité est vitale, mais inefficace si la facilité d’utilisation en pâtit. Les utilisateurs jonglent déjà avec trop de mots de passe. Le NIST nous recommande de leur faciliter un peu la vie. Par exemple, il n’est pas nécessaire de les forcer à changer leur mot de passe à moins qu’il y ait des preuves qu’il ait été compromis.

Forcer les utilisateurs à définir un nouveau mot de passe les agace, mais cela entraîne également de mauvaises pratiques. L’incrémentation d’un nombre à la fin du mot de passe, les substitutions de caractères et d’autres habitudes prévisibles constituent le mécanisme d’adaptation privilégié des utilisateurs. Le résultat est un nouveau mot de passe, similaire à l’ancien, avec encore plus de vulnérabilités car il est plus susceptible d’être écrit ou oublié.

Expirations de mots de passe variables

En tant qu’administrateur, vous êtes un habitué de la politique d’âge maximum du mot de passe. Le paramètre détermine la durée pendant laquelle un mot de passe peut être utilisé avant que l’utilisateur ne soit obligé de le modifier. La configuration du paramètre sur 90 ou 180 jours est une pratique courante dans la plupart des organisations, car on pense qu’elle empêche l’accès indéfiniment si le mot de passe est compromis.

Et si je vous disais qu’il existe une défense plus efficace contre l’utilisation non autorisée d’un compte ? Au lieu d’expirer arbitrairement les mots de passe tous les 90 jours environ, vous pouvez configurer des expirations en fonction du niveau de complexité d’un mot de passe. Avec cette approche, vous pouvez récompenser les utilisateurs soucieux de la sécurité qui choisissent des mots de passe plus solides, avec une période d’expiration de mot de passe plus longue.

Specops Password Policy prend en charge les expirations de mot de passe basées sur une longueur variable. Le paramètre permet aux administrateurs de prolonger l’âge maximal du mot de passe lorsqu’un utilisateur dépasse la longueur minimale du mot de passe.

À l’aide de la politique de mots de passe Specops, les administrateurs peuvent choisir jusqu’à 5 niveaux d’expiration de mot de passe. Pour chaque niveau, ils peuvent définir une gamme de caractères.

Par exemple, une politique avec une durée de vie maximale de 60 jours et une longueur de mot de passe minimale de 10 caractères peut être configurée avec ces paramètres supplémentaires :

  • Nombre de niveaux d’expiration : 4
  • Nombre de caractères par groupe : 5
  • Jours supplémentaires par groupe : 60
 Niveau d’expiration 1Niveau d’expiration 2Niveau d’expiration 3Niveau d’expiration 4
Caractères par niveauMots de passe entre 10 et 14 caractèresMots de passe entre 15 et 19 caractèresMots de passe entre 20 et 24 caractèresMots de passe de 25 caractères ou plus
Expire dans60 jours120 jours180 jours240 jours

Avec les paramètres ci-dessus, les utilisateurs avec des mots de passe plus longs bénéficient de jours supplémentaires en plus de l’âge maximal défini par la politique de mots de passe. Lorsqu’ils définiront éventuellement un nouveau mot de passe, vous voudrez vous assurer que le mot de passe est unique. Vous pouvez diminuer la réutilisation des mots de passe en appliquant l’Historique des mots de passe – le nombre minimum de mots de passe uniques qui doivent être associés à un compte d’utilisateur avant qu’un ancien mot de passe puisse être réutilisé. Avec la politique de mots de passe Specops, vous pouvez également appliquer un nombre minimum de caractères à modifier. Cela empêchera les utilisateurs d’utiliser le même mot de passe et d’incrémenter un nombre à la fin.

N’oubliez pas que si vous bloquez les fuites de mots de passe dans Active Directory, l’expiration du mot de passe doit être suffisamment fréquente pour pouvoir être vérifiée par rapport aux dernières listes de mots de passe ayant été compromis. Vous pourriez être tentés de forcer les utilisateurs à changer leurs mots de passe lorsqu’une liste de mots de passe compromos est mise à jour, généralement à la suite une fuite de données majeure.

Si vous souhaitez abandonner complètement le principe d’expiration des mots de passe, vous devrez accompagner ce changement avec le déploiement d’un système d’authentification multifacteurs. L’authentification multifacteurs atténue le risque d’un mot de passe qui n’expirerait jamais.

Contactez-nous pour plus d’informations sur le blocage des mots de passe compromis dans Active Directory et les expirations de mots de passe variables !

(Dernière mise à jour le 14/02/2023)

Revenir sur le blog