Expiration du mot de passe

Si vous êtes administrateur, vous pouvez rendre la réinitialisation de mot de passe à intervalles réguliers obligatoire pour vos utilisateurs. Vous pouvez décider de la durée de vie d’un mot de passe avant qu’il n’expire et doive être réinitialisé (par exemple, tous les 100 jours).

Les paramètres d’historique des mots de passe sont gérés dans l’onglet Paramètres généraux, tandis que les paramètres d’expiration du mot de passe sont gérés dans l’onglet Expiration de mots de passe.

Paramètres d’expiration du mot de passe Specops Password Policy

Pour définir une durée de vie maximale du mot de passe, cochez la case Durée de vie maximale du mot de passe (jours) et spécifiez le temps (en jours) qui peut s’écouler avant l’expiration du mot de passe d’un utilisateur.

Exemple : saisissez 100 si vous souhaitez qu’un mot de passe expire 100 jours après sa dernière réinitialisation ou son dernier changement.

Paramètres d’expiration du mot de passe Specops Password Policy

Vieillissement du mot de passe basé sur la longueur

Vous pouvez également ajouter une période de « vieillissement basé sur la longueur » en plus de la période d’expiration du mot de passe standard. Le vieillissement basé sur la longueur encourage les utilisateurs à créer des mots de passe plus longs et plus sûrs, et les récompense en leur donnant plus de temps avant l’expiration de leurs mots de passe.

Pour activer le vieillissement du mot de passe basé sur la longueur, cochez la case Vieillissement du mot de passe basé sur la longueur.

Vous pouvez y configurer les éléments suivants :

  • Nombre de niveaux d’expiration : 1 à 5 niveaux, chaque niveau accordant à l’utilisateur plus de temps jusqu’à l’expiration du mot de passe. La durée de chaque niveau est déterminée par le paramètre Caractères par niveau.
  • Caractères par niveau : nombre de caractères pour chaque niveau.
  • Jours supplémentaires par niveau : combien de jours supplémentaires en plus de l’Âge maximal du mot de passe sont attribués pour chaque niveau atteint par l’utilisateur.
REMARQUE
Si l’âge maximal du mot de passe (âge maximal du mot de passe + vieillissement du mot de passe basé sur la longueur) dépasse le nombre de jours défini dans la stratégie de mot de passe du domaine Windows, l’âge maximal du mot de passe défini dans Specops Password Policy ne fonctionnera pas car l’utilisateur serait invité à changer son mot de passe par la stratégie intégrée avant que l’âge maximal du mot de passe ne soit atteint. Pour résoudre ce problème, augmentez la stratégie de mot de passe intégrée pour qu’elle corresponde ou dépasse l’âge maximal du mot de passe défini dans Specops Password Policy. Vous pouvez cliquer sur l’avertissement qui s’affiche pour voir la valeur de la stratégie de mot de passe de domaine intégrée.

Dans le champ Nombre de niveaux d’expiration, saisissez le nombre de niveaux d’expiration. Un niveau d’expiration détermine le nombre de jours supplémentaires dont disposera l’utilisateur jusqu’à l’expiration de son mot de passe. Ceci dépend de la longueur du mot de passe de l’utilisateur. Pour augmenter le nombre de niveaux, déplacez le curseur vers la droite. Le nombre maximal de niveaux d’expiration pouvant exister est de 5.

Dans le champ Caractères par niveau, spécifiez la plage de caractères par niveau, en déplaçant le curseur.

Dans le champ Jours supplémentaires par niveau, spécifiez le nombre de jours d’expiration supplémentaires que vaut chaque niveau.

Paramètres d’expiration du mot de passe Specops Password Policy

Exemple : Vous pouvez définir le champ Durée de vie maximale du mot de passe (jours) sur 180 jours. Vous pouvez alors sélectionner 3 niveaux d’expiration, avec 3 caractères par niveau, avec 30 jours supplémentaires par niveau :

Paramètres d’expiration du mot de passe Specops Password Policy
REMARQUE
La longueur minimale du mot de passe est de 5 caractères.

Cela signifie :

  • Les mots de passe comportant de 5 à 7 caractères relèvent du niveau d’expiration 1. Les mots de passe sous le niveau d’expiration 1 expirent dans 180 jours.
  • Les mots de passe comportant de 8 à 10 caractères relèvent du niveau d’expiration 2. Les mots de passe sous le niveau d’expiration 2 expirent dans 210 jours.
  • Les mots de passe comportant de 11 à 20 caractères relèvent du niveau d’expiration 3. Les mots de passe sous le niveau d’expiration 3 expirent dans 240 jours.
Paramètres d’expiration du mot de passe Specops Password Policy

La longueur du mot de passe par niveau d’expiration dépend de ce que vous avez spécifié dans les champs Longueur maximale du mot de passe et Longueur minimale du mot de passe sous l’onglet Règles de mot de passe.

La longueur du mot de passe pour chaque niveau d’expiration changera si vous modifiez les champs Longueur maximale/minimale du mot de passe.

Texte de remplacement pour cette image

Si vous cochez la case Désactiver l’expiration pour le dernier niveau, les mots de passe qui répondent aux exigences du dernier niveau d’expiration dans la liste n’expireront pas. Dans l’exemple ci-dessous, les mots de passe qui satisfont aux exigences du niveau 3 n’expireront pas.

Paramètres d’expiration du mot de passe Specops Password Policy

Représentation graphique du vieillissement du mot de passe

Lors de la modification de leur mot de passe, les utilisateurs doivent saisir suffisamment de caractères pour respecter la longueur minimale de mot de passe requise. Ils peuvent ensuite ajouter des caractères supplémentaires à leur mot de passe, en plus de la longueur de caractères de base requise. Lors de l’utilisation de Specops Password Policy en combinaison avec Specops uReset (version 8.4 et ultérieure), les utilisateurs obtiendront un retour visuel sur la longueur du mot de passe choisi. Si trois niveaux d’expiration ont été configurés, l’utilisateur verra 3 cases, chaque case représentant un niveau d’expiration. Lorsqu’un utilisateur saisit suffisamment de caractères pour répondre aux exigences d’un niveau, la case devient verte.

Paramètres d’expiration du mot de passe Specops Password Policy
Représentation graphique du vieillissement du mot de passe (uniquement lors de l’utilisation de uReset 8.4 et versions ultérieures)

Notifications d’avertissement d’expiration

Vous pouvez avertir vos utilisateurs lorsque leurs mots de passe arrivent à expiration. Vous pouvez configurer 2 types de notifications d’avertissement :

Notification d’avertissement lors de l’ouverture de session

Vous pouvez configurer une notification d’avertissement pour qu’elle s’affiche lorsque l’utilisateur se connecte, si son mot de passe arrive à expiration, dans la section Notifications d’expiration du mot de passe. Pour activer cette notification, cochez la case Avertissement à la connexion avant expiration (jours) et saisissez un nombre. Par exemple : si vous souhaitez que la notification s’affiche 1 jour avant l’expiration du mot de passe d’un utilisateur, saisissez 1.

Paramètres de connexion d’expiration de mot de passe Specops Password Policy

Notification d’avertissement par e-mail

Vous pouvez configurer un avertissement par e-mail, qui sera envoyé à vos utilisateurs un certain nombre de jours avant l’expiration de leur mot de passe.

Paramètres de connexion d’expiration de mot de passe Specops Password Policy

Pour configurer un e-mail d’avertissement, procédez comme suit :

REMARQUE
Les paramètres SMTP pour tous les e-mails sortants de Specops Password Policy sont configurées dans Password Policy Domain Administration Tool : Domaine > Paramètres du domaine > Paramètres SMTP > Modifier
  1. Cochez la case Envoyer un avertissement par e-mail (jours) et spécifiez un nombre. Par exemple : si vous souhaitez que l’e-mail soit envoyé à vos utilisateurs 1 jour avant l’expiration de leur mot de passe, saisissez 1.
  2. Sélectionnez la langue de l’e-mail sortant dans la liste déroulante.
    REMARQUE
    Certaines informations contenues dans l’e-mail sortant sont générées par Password Policy. Vous pouvez ici définir la langue de ces informations. Plus précisément, les espaces réservés concernés sont %DynamicExpirationInfo% and %PasswordRules%. Pour voir quels fichiers de langue sont installés, dans Domain Administration Tool accédez à Domaine > Fichiers de langue.
  3. Les champs Adresse e-mail de l’expéditeur et Nom de l’expéditeur ne sont pas accessibles ici et sont renseignés automatiquement par les informations fournies dans les paramètres SMTP, notamment les champs Adresse e-mail de l’expéditeur par défaut et Nom d’affichage de l’expéditeur par défaut.
  4. Dans le champ À, saisissez l’adresse e-mail à laquelle l’e-mail doit être envoyé. Saisissez l’espace réservé %UserEmail% pour envoyer l’e-mail à l’utilisateur concerné.
  5. Dans le champ CC saisissez toutes les autres adresses e-mail auxquelles la notification doit être envoyée. Des espaces réservés (par exemple %ManagerEmail%) peuvent également être utilisés.
  6. Dans le champ Objet, saisissez l’objet de l’e-mail de notification. Utilisez des espaces réservés pour générer une ligne d’objet fournissant des informations à l’utilisateur. Vous trouverez plus d’informations concernant les textes d’espaces réservés sur la page Notifications.
  7. Configurez le texte du corps de la notification par e-mail en cliquant sur le bouton Modifier. Là encore, des espaces réservés peuvent être utilisés (ils sont accessibles via l’icône % sur le ruban).
    REMARQUE
    Les e-mails peuvent être modifiés au format RTF ou HTML (cliquez sur le bouton Passer à l’affichage HTML sur le ruban).