Specops Password Auditor prend en charge les normes suivantes :
NOTE
Specops Password Auditor will check against both the built-in Windows policies as well as those created with Specops Password Policy (with Specops Breached Password Protection).
For example, standards that require users not to use dictionary words (Disallow passwords from dictionary) will be marked as non-compliant if Specops Password Policy is not used, or if the policy in Specops Password Policy is not configured to satisfy the criterium.
The tables below show which compliance criteria require additional policy tools:
- *: Specops Password Policy
- **: Specops Breached Password Protection
NIST
Description
Le National Institute of Standards and Technology (NIST) établit les normes de sécurité de l’information pour les agences fédérales aux États-Unis.
En mettant l’accent sur la simplification des mots de passe pour les utilisateurs et en imposant la charge sur les systèmes d’authentification, l’application du dictionnaire est un élément important des recommandations NIST.
Avec Specops Password Policy, vous pouvez créer votre propre dictionnaire pour bloquer les mots communs à votre organisation ou utiliser Breached Password Protection pour bloquer l’utilisation de plus de 3 milliards de mots de passe compromis.
Règles du NistRègle | Valeur |
---|
Longueur minimale | 8 |
Interdire les mots de passe du dictionnaire* | Oui |
Interdire les mots de passe compromis** | Oui |
PCI V4
Description
Les normes de sécurité des données du secteur des cartes de paiement (PCI DSS) sont un ensemble de normes et de directives permettant aux entreprises de gérer et de sécuriser les données personnelles relatives aux cartes bancaires. Il s’agit d’une norme mondiale établie par les principales sociétés de cartes bancaires (Visa, Mastercard et American), dans le but de protéger les données de cartes bancaires contre le vol.
Les exigences PCI-DSS sont fortement axées sur la composition des mots de passe et peuvent être facilement satisfaites avec un outil de stratégie de mot de passe tiers, tel que Specops Password Policy.
Si vous souhaitez être à l’abri des attaques de mots de passe modernes, vous pouvez utiliser le dictionnaire personnalisé de Specops Password Policy pour empêcher l’utilisation de mots de passe communs à votre organisation. Avec Specops Breached Password Protection, vous pouvez bloquer l’utilisation de plus de 3 milliards de mots de passe compromis.
Règles PCIRègle | Valeur |
---|
Longueur minimale | 7 |
Âge maximal | 90 jours |
Utiliser la phrase secrète* | Oui |
Historique des mots de passe | 4 |
Complexité | Chiffre, minuscule |
CJIS
Description
La division des services d’information sur la justice pénale (CJIS) du Federal Bureau of Investigation (FBI) des États-Unis permet aux organismes des forces de l’ordre et de justice pénale des États locaux et fédéraux d’accéder aux informations de justice pénale (CJI), par exemple, les dossiers d’empreintes digitales et les casiers judiciaires.
Les forces de l’ordre et autres agences gouvernementales aux États-Unis doivent s’assurer que leur utilisation des services cloud pour la transmission, le stockage ou le traitement de CJI est conforme à la politique de sécurité CJIS, qui établit des exigences de sécurité minimales et des contrôles pour protéger les CJI.
La politique de sécurité CJIS décrit deux ensembles de normes de mot de passe : de base et avancées. Le rapport présente ici une comparaison des stratégies de mots de passe par rapport à la norme de base.
Règles CJISRègle | Valeur |
---|
Longueur minimale | 8 |
Âge minimal | 90 jours |
Interdire les mots de passe du dictionnaire* | Oui |
Interdire les mots de passe compromis** | Oui |
Historique des mots de passe | 10 |
Interdire les mots de passe incrémentiels* | Oui |
HITRUST
Description
Le Health Information Trust (HITRUST) est un cadre qui fournit un moyen de se conformer aux normes souvent vagues qui s’appliquent au secteur de la santé aux États-Unis, telles que la Health Insurance Portability and Accountability Act (HIPAA).
Règles HITRUSTRègle | Valeur |
---|
Longueur minimale | 8 |
Âge maximal | 90 jours |
Interdire les mots de passe du dictionnaire* | Oui |
Interdire les mots de passe compromis** | Oui |
Historique des mots de passe | 4 |
Interdire les mots de passe incrémentiels* | Oui |
Complexité | 2 chiffres, minuscule, spécial |
NCSC
Description
Le National Cyber Security Center (NCSC) est une organisation du gouvernement britannique dont le système d’accréditation approuvé, Cyber Essentials, fournit une base de référence normalisée pour les stratégies, les contrôles et les technologies de cybersécurité.
En mettant fortement l’accent sur la simplification des mots de passe pour les utilisateurs et en plaçant la charge sur les systèmes d’authentification, l’application du dictionnaire et l’incitation à l’utilisation de phrases secrètes sont des éléments importants de la norme britannique.
Avec Specops Password Policy, vous pouvez créer votre propre dictionnaire pour bloquer les mots communs à votre organisation ou utiliser Breached Password Protection pour bloquer l’utilisation de plus de 3 milliards de mots de passe compromis.
Règles NCSCRègle | Valeur |
---|
Longueur minimale | 8 |
Utiliser la phrase secrète* | Oui |
Interdire les mots de passe du dictionnaire* | Oui |
Interdire les mots de passe compromis** | Oui |
BSI
Description
L’Office fédéral allemand de la sécurité de l’information (Bundesamt für Sicherheit in der Informationstechnik, ou BSI) est une agence chargée de la sécurité de l’information pour le gouvernement fédéral allemand.
Le BSI est également l’organisme central de certification des systèmes informatiques. Cela signifie que tout produit ou système informatique destiné à être utilisé par le gouvernement fédéral doit répondre aux normes de sécurité du BSI.
Règles BSIRègle | Valeur |
---|
Longueur minimale | 8 |
Interdire les mots de passe du dictionnaire* | Oui |
Interdire les mots de passe compromis** | Oui |
Historique des mots de passe | 4 |
Complexité | 2 chiffres, minuscule, spécial, majuscule |
ANSSI
Description
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale française chargée d’accompagner et de sécuriser le développement du numérique.
La norme de sécurité de l’ANSSI comprend plusieurs recommandations concernant les mots de passe, notamment la vérification par rapport à une liste de mots de passe compromis connus et l’incitation à l’utilisation de phrases secrètes.
Règles ANSSIRègle | Valeur |
---|
Longueur minimale | 15 |
Utiliser la phrase secrète* | Oui |
Interdire les mots de passe du dictionnaire* | Oui |
Interdire les mots de passe compromis** | Oui |
Historique des mots de passe | 4 |
Complexité | 3 chiffres, minuscule, spécial, majuscule |
CNIL
Description
La confidentialité des données est devenue une priorité pour les sociétés mondiales en raison de réglementations importantes telles que le Règlement général sur la protection des données (RGPD). Parallèlement, d’autres organismes de réglementation continuent à faire respecter les lois locales sur la confidentialité des données. En France, par exemple, l’autorité de protection des données est la Commission nationale de l’informatique et des libertés (CNIL).
La CNIL fournit des conseils de cybersécurité liés au recueil, au stockage et à l’utilisation des données personnelles. Bien entendu, la sécurisation des mots de passe est une partie importante des conseils.
Règles CNILRègle | Valeur |
---|
Longueur minimale | 12 |
Interdire les mots de passe compromis** | Oui |
Complexité | Chiffre, minuscule, spécial, majuscule |