Specops Breached Password Protection

Specops Password Policy (version 7.0 et ultérieure) est compatible avec Specops Breached Password Protection. La liste de Breached Password Protection est une liste de mots de passe compromis et divulgués. Si vous êtes administrateur, vous pouvez empêcher les utilisateurs d’utiliser les mots de passe figurant sur cette liste. Il est également possible de vérifier continuellement la liste afin que les utilisateurs puissent être alertés dès que des mots de passe compromis sont ajoutés à celle-ci (analyse continue).

La liste de plus de 3 milliards de mots de passe compromis est organisée par Specops Software et est une combinaison de milliers de sources différentes de mots de passe compromis, dont ceux utilisés dans de véritables attaques aujourd’hui ou qui figurent sur des listes de mots de passe connus comme HaveIBeenPwned, ce qui facilite la conformité aux réglementations du secteur telles que NIST ou NCSC. Les systèmes de recueil de données de surveillance des attaques de notre équipe de recherche mettent à jour le service quotidiennement et garantissent que les réseaux sont protégés contre les attaques par mot de passe du monde réel qui se produisent actuellement.

Breached Password Protection Complete :

  • Contient la liste principale des mots de passe divulgués, stockée dans le cloud, afin qu’elle soit toujours à jour.
    REMARQUE
    Il ne s’agit pas d’une protection zero-day, car la liste des mots de passe divulgués devra être ajoutée à la base de données dans un format reconnu.
  • Si un utilisateur change son mot de passe pour un mot de passe figurant sur la liste des mots de passe divulgués, Breached Password Protection Complete avertit l’utilisateur par e-mail ou SMS. Son compte est également marqué d’un indicateur, ce qui oblige l’utilisateur à changer son mot de passe lors de sa prochaine ouverture de session.
  • Si l’analyse continue est activée, les utilisateurs seront alertés des mots de passe compromis dès qu’ils sont ajoutés à la liste (si les notifications sont configurées), ou seront obligés à changer leur mot de passe lors de la prochaine ouverture de session.
  • Nécessite davantage d’infrastructure dans Active Directory, inclut l’installation de Specops Arbiter et le téléchargement d’une clé d’API. Ceci nécessite un serveur supplémentaire, sur lequel vous installez Specops Arbiter, qui communiquera avec l’API de Cloud de Breached Password Protection.

Breached Password Protection Express :

  • Utilise un sous-ensemble de la liste des mots de passe divulgués qui est normalement mise à jour tous les 3 à 4 mois.
  • La liste est téléchargée dans Active Directory (ceci affectera la réplication entre les contrôleurs de domaine).
  • Les administrateurs doivent vérifier manuellement s’il y a des mises à jour de la liste des mots de passe divulgués, puis télécharger la liste mise à jour.
  • Empêche immédiatement un utilisateur de passer à un mot de passe divulgué.
  • Vérifie continuellement les mots de passe compromis.

Vérifications de Breached Password Protection expliquées


Il existe trois différences principales entre Breached Password Protection Express et Breached Password Protection Complete :

  • La taille de la base de données : Breached Password Protection Complete dispose d’un ensemble beaucoup plus important de mots de passe compromis.
  • Le contenu de la base de données : Breached Password Protection Complete est mis à jour en continu, alors que Breached Password Protection Express est mis à jour tous les 3 ou 4 mois.
  • Le moment où la vérification est effectuée :
    • Breached Password Protection Express effectue des vérifications lors du changement de mot de passe, ainsi que des vérifications continues (par exemple, la nuit).
    • Breached Password Protection Complete effectue sa vérification immédiatement après le changement de mot de passe.

Exemple de flux de Breached Password Protection Complete (Changement de mot de passe)

Voici un exemple de la façon dont la vérification de Breached Password Protection Complete est effectuée.

  1. L’utilisateur change son mot de passe.
  2. Si le nouveau mot de passe est conforme à toutes les autres règles de stratégie de mot de passe, le nouveau mot de passe est envoyé (l’utilisateur peut utiliser son nouveau mot de passe).
  3. Le mot de passe est vérifié par rapport à la base de données de Breached Password Protection Complete.
  4. S’il s’avère que le mot de passe est compromis, le compte de l’utilisateur est signalé et l’utilisateur doit changer son mot de passe à la prochaine connexion.
  5. Le mot de passe n’est pas vérifié par rapport à la base de données de Breached Password Protection Complete jusqu’au prochain changement de mot de passe.

Exemple de flux de Breached Password Protection Express

Voici un exemple de la façon dont la vérification de Breached Password Protection Express est effectuée.

  1. L’utilisateur change son mot de passe.
  2. Le nouveau mot de passe est vérifié par rapport à la base de données de Breached Password Protection Express lors du changement de mot de passe.
  3. S’il s’avère que le mot de passe est compromis, l’utilisateur ne sera pas autorisé à envoyer le changement. Sinon, le nouveau mot de passe est envoyé.
  4. Breached Password Protection Express vérifie le mot de passe par rapport à la base de données en continu (par exemple, la nuit).
  5. Si le mot de passe s’avère compromis lors de vérifications ultérieures (à condition que la base de données de Breached Password Protection Express ait été mise à jour entre-temps), le compte de l’utilisateur sera signalé et l’utilisateur devra changer son mot de passe à la prochaine connexion.

Exemple de flux de Breached Password Protection (analyse continue)

Voici un exemple de la façon dont la vérification de Breached Password Protection est effectuée pour l’analyse continue.

  1. Une analyse continue de la liste est effectuée (soit Breached Password Protection Express, soit Breached Password Protection Complete).
  2. Le mot de passe de l’utilisateur s’avère compromis.
  3. L’utilisateur est alerté par SMS ou par e-mail (si configuré) et/ou l’utilisateur est obligé de changer son mot de passe lors de la prochaine ouverture de session (si configuré).

Utilisation de Breached Password Protection Express avec Breached Password Protection Complete

Vous pouvez configurer et activer Breached Password Protection Complete et Breached Password Protection Express en même temps, en sélectionnant les cases Interdire les mots de passe dans la liste Express locale et Activer la vérification des mots de passe via l’API complète dans le menu Changement de mot de passe. L’avantage d’utiliser les deux est que les mots de passe sont vérifiés par rapport à la base de données complète plus vaste, tout en fournissant également un retour direct lors du changement de mot de passe si le nouveau mot de passe est trouvé dans la liste Express. Lorsque les utilisateurs changent leur mot de passe, Breached Password Protection Express vérifiera si le mot de passe figure sur la liste des mots de passe divulgués qui a été téléchargée. Si le mot de passe se trouve sur la liste Express stockée dans votre environnement local, la règle Breached Password Protection Express empêchera l’utilisateur de choisir ce nouveau mot de passe. S’il ne figure pas sur la liste stockée localement, le mot de passe sera vérifié par rapport à la liste se trouvant dans Breached Password Protection Complete lors de l’envoi du nouveau mot de passe. S’il figure sur la liste complète, le compte de l’utilisateur sera signalé comme « doit changer de mot de passe », et l’utilisateur devra changer son mot de passe lors de la prochaine ouverture de session.

Configuration requise


ComposantConfiguration requise
Specops Password Policy Sentinel
  • Windows Server 2012 R2 ou version ultérieure
  • Net Framework 4.7.1 ou version ultérieure
  • Contrôleur de domaine accessible en écriture
Specops Arbiter
  • NET 4.7.1 ou version ultérieure
  • Windows Server 2012 R2 ou version ultérieure
Mises à jour de Breached Password Protection ExpressEspace disque
Les dictionnaires pour Specops Breached Password Protection Express sont téléchargés et stockés dans sysvol, et répliqués sur chaque contrôleur de domaine.
  • 13 Go d'espace disponible dans sysvol sur chaque contrôleur de domaine.
  • Temporaire : 13 Go supplémentaires sur l'ordinateur d'administration sur lequel les dictionnaires sont téléchargés.

Composants


Specops Password Policy avec Breached Password Protection comprend les composants suivants.

Specops Password Policy Sentinel

Specops Password Policy Sentinel est un package d’installation qui doit être installé sur tous les contrôleurs de domaine accessibles en écriture d’un domaine.

Specops Sentinel comprend le filtre de mots de passe Sentinel et le service Sentinel.

Filtre de mots de passe Sentinel

Le filtre de mot de passe Sentinel est un filtre de mot de passe Windows qui vérifie si un nouveau mot de passe correspond aux paramètres de Specops Password Policy attribués à l’utilisateur.

Lorsque la validation avec Specops Breached Password Protection est configurée, le filtre de mot de passe Sentinel écrit un fichier de demande de validation de Breached Password Protection pour chaque nouveau mot de passe (changement/réinitialisation du mot de passe), comme configuré dans les paramètres d’objet de stratégie de groupe de Specops Password Policy.

Service Sentinel

Le service Sentinel (service Windows) est un composant de Specops Password Policy. Le service Sentinel est toujours installé dans le cadre de Specops Password Policy Sentinel, mais n’est efficace que si la validation de Breached Password Protection est configurée.

Le service Sentinel prend les demandes de validation de Breached Password Protection du dossier de la file d’attente et les transmet à Breached Password Protection Arbiter, qui déterminera si le mot de passe est autorisé ou a été compromis. En fonction des paramètres de l’objet de stratégie de groupe de Specops Password Policy, le service Breached Password Protection peut imposer à l’utilisateur de changer de mot de passe à la prochaine ouverture de session pour les mots de passe compromis.

Le service Sentinel s’exécute en tant que système local et, par défaut, est autorisé à définir « L’utilisateur doit changer de mot de passe à la prochaine ouverture de session » pour les utilisateurs concernés.

Configuration requise pour l’installation : .NET 3.5 SP1 ou version ultérieure

Breached Password Protection Arbiter

Breached Password Protection Arbiter est un composant de Specops Password Policy et doit être installé sur un serveur avec une connexion Internet. Un seul arbitre suffit pour la plupart des organisations. Si votre organisation nécessite une redondance, des arbitres supplémentaires sont recommandés.

Breached Password Protection Arbiter agit comme une passerelle entre le service Breached Password Protection et l’API de Cloud de Specops Breached Password Protection, où se trouve la liste des mots de passe divulgués. Breached Password Protection Arbiter utilise une clé d’API pour communiquer avec l’API de Cloud Breached Password Protection.

L’arbitre s’exécute en tant que service réseau et, par défaut, dispose d’un accès en lecture seule à Active Directory. En lisant les paramètres de Specops Password Policy, l’arbitre peut déterminer les actions requises si un hachage de mot de passe est trouvé dans la liste de Breached Password Protection.

Pour utiliser la validation Breached Password Protection, au moins un arbitre doit être installé dans le domaine. Les organisations utilisant Specops Password Policy sans la validation de Breached Password Protection n’ont pas besoin d’installer l’arbitre.

Configuration requise pour l’installation : NET 4.7.1 ou version ultérieure

REMARQUE
Les paramètres de Breached Password Protection Express ne nécessitent pas le composant Breached Password Protection Arbiter.

API de Cloud de Breached Password Protection

L’API de Cloud de Breached Password Protection, hébergée par Specops dans le cloud, est un composant de Specops Password Policy.

L’API de Cloud de Breached Password Protection héberge une liste complète de mots de passe divulgués.

REMARQUE
Les paramètres de Breached Password Protection Express ne nécessitent pas le composant Breached Password Protection Arbiter.

Configuration de Breached Password Protection Complete (API Complete)


Pour configurer Breached Password Protection Complete, vous devez :

  • Installer Specops Password Policy Sentinel sur tous les contrôleurs de domaine. La même version doit être installée sur tous les contrôleurs de domaine. []
    REMARQUE
    Les clients de Specops Password Policy exécutant la version 6.8.18106.1 ou antérieure auront besoin d’une nouvelle clé de licence.
  • Installer un (ou plusieurs) arbitre(s) dans le(s) domaine(s)[]
  • Enregistrez le ou les Arbiters dans l’outil d’administration de domaine de Specops Password Policy et ajoutez la clé d’API que vous avez reçue d’un spécialiste des produits Specops :
    1. Dans l’outil d’administration de domaine, sélectionnez Breached Password Protection, puis cliquez sur Enregistrer un nouveau Arbiter.
    2. Sélectionnez ou saisissez le nom de votre ordinateur Arbiter, puis cliquez sur OK. L’ordinateur Arbiter est alors ajouté à la table contenant tous les Arbiters Specops Password.
      REMARQUE
      Vous pouvez également rechercher votre ordinateur Arbiter en cliquant sur le bouton Avancé, puis sur Rechercher maintenant.
    3. Cliquez sur le bouton Importer la clé d’API et collez la clé d’API que vous avez reçue de Specops dans le champ de texte qui s'affiche. Cliquez sur OK. Une coche verte devrait s’afficher dans la colonne Clé d’API de la table.
      REMARQUE
      Collez uniquement la clé d’API réelle dans le champ de texte, à l’exclusion de tout commentaire pouvant être présent.
    4. Cliquez sur Tester la connexion au Cloud pour tester la connexion.
    5. REMARQUE
      Vous recevrez un message d’erreur vous invitant à saisir une clé de licence valide une fois l’installation terminée.

Pour activer la validation de Breached Password Protection à l’aide de Breached Password Protection Complete pour les nouveaux mots de passe (changement/réinitialisation du mot de passe), vous devez configurer les objets de stratégie de groupe Specops Password Policy pour les utilisateurs concernés.

Configuration de Breached Password Protection Complete pour le changement de mot de passe

  1. Ouvrez l’outil d’administration de domaine de Password Policy.
  2. Sélectionnez le menu Stratégies de mots de passe.
  3. Accédez à la stratégie de l’objet de stratégie de groupe que vous souhaitez modifier (Modifier)
  4. Cliquez sur l’onglet Breached Password Protection, puis sélectionnez le menu Changement de mot de passe.
  5. Cochez la case Activer la vérification des mots de passe via l’API complète.
  6. [Facultatif] Cochez la case Forcer les utilisateurs à changer les mots de passe compromis.
    REMARQUE
    Cela signalera au compte de l’utilisateur qu’il devra demander un changement de mot de passe lors de la prochaine ouverture de session de l’utilisateur.
    REMARQUE
    Lorsque la stratégie de l’utilisateur est définie sur « le mot de passe n’expire jamais » et que son mot de passe est compromis, l’indicateur Le mot de passe n’expire jamais sera effacé. L’utilisateur sera alors invité à changer son mot de passe lors de sa prochaine connexion.
  7. [Facultatif] Cochez la case Vérifier les mots de passe lors de la réinitialisation en plus de lors du changement.
    REMARQUE
    Si cette option est désactivée, la fonction Breached Password Protection Complete ne sera pas utilisée lors de la réinitialisation des mots de passe, mais uniquement lors de leur changement.
    REMARQUE
    Si vos utilisateurs ont accès à un système de réinitialisation de mot de passe en libre-service, cette option doit être activée.
  8. [Facultatif] Activez les options de notification par e-mail et/ou par SMS. Pour plus d’informations sur les notifications, veuillez consulter la .
  9. Cliquez sur Appliquer.
  10. Cliquez sur OK.

Configuration de Breached Password Protection Complete pour une analyse continue

REMARQUE
Afin d’activer l’analyse continue, les clients existants nécessitent un nouveau fichier de licence. Veuillez contacter licensing@specopssoft.com pour plus d’informations.
  1. Ouvrez l’outil d’administration de domaine de Password Policy.
  2. Sélectionnez le menu Stratégies de mots de passe.
  3. Accédez à la stratégie de l’objet de stratégie de groupe que vous souhaitez modifier (Modifier)
  4. Cliquez sur l’onglet Breached Password Protection, puis sélectionnez le menu Continue.
  5. Dans la liste déroulante Vérifier continuellement les mots de passe compromis, choisissez Utilisation de l’API complète en ligne.
  6. [Facultatif] Cochez la case Forcer les utilisateurs à changer les mots de passe compromis
    REMARQUE
    Cela signalera au compte de l’utilisateur qu’il devra demander un changement de mot de passe à la prochaine ouverture de session.
  7. [Facultatif] Activez les options de notification par e-mail et/ou par SMS. Pour plus d’informations sur les notifications, veuillez consulter la .
  8. Cliquez sur Appliquer.
  9. Cliquez sur OK.

Configuration de Breached Password Protection Express (Liste Express)


Si vous êtes administrateur, vous pouvez télécharger une liste de mots de passe divulgués et les stocker dans votre environnement local. Lorsqu'un utilisateur de votre organisation réinitialise ou change son mot de passe, ce nouveau mot de passe sera vérifié par rapport à cette liste de mots de passe divulgués. Si le mot de passe choisi par l'utilisateur figure sur la liste des mots de passe divulgués, il doit en choisir un autre.

Breached Password Protection Express diffère de Breached Password Protection Complete sur les points suivants :

  • Validation instantanée du mot de passe : comme la liste des mots de passe divulgués est stockée localement, Breached Password Protection Express peut immédiatement confirmer si le nouveau mot de passe choisi par l'utilisateur est valide ou non. Les utilisateurs obtiendront une validation instantanée, qu'ils changent ou non leur mot de passe, même si les deux versions de Breached Password Protection sont configurées et activées.
  • Notifications : vous n'avez pas besoin de configurer les notifications par SMS et par e-mail de Breached Password Protection Express, car les mots de passe sont validés instantanément.
  • Analyse des mots de passe divulgués : Breached Password Protection Express peut analyser les mots de passe de tous les utilisateurs concernés par la stratégie. Les mots de passe seront comparés à la liste de Breached Password Protection Express téléchargée. Les utilisateurs dont les mots de passe ont été divulgués seront invités à changer leur mot de passe lors de la prochaine ouverture de session.
  • Mises à jour : la liste des mots de passe divulgués doit être mise à jour manuellement. Si une nouvelle version de la liste a été publiée, vous devez la télécharger à partir de l'outil d'administration de domaine de Password Policy.

Télécharger la liste des mots de passe divulgués

Vous devez télécharger la liste des mots de passe divulgués dans votre environnement local, afin que les objets de stratégie de groupe choisis puissent consulter la liste des mots de passe divulgués.

REMARQUE
La liste n’a besoin d’être téléchargée qu’une seule fois. Une fois téléchargée, la liste sera stockée dans SYSVOL. La liste est téléchargée et s’applique à l’échelle du domaine.

Pour télécharger la liste de Breached Password Protection, procédez comme suit :

  1. Lancez l’outil d’administration de domaine de Password Policy.
  2. Accédez à la page Breached Password Protection.
  3. Cliquez sur l’onglet Breached Password Protection Express (Liste Express).
  4. Si une nouvelle version de la liste est disponible, cliquez sur le bouton Télécharger la dernière version.
  5. La fenêtre Télécharger Breached Password Protection s’ouvrira. Lors du téléchargement, les fichiers sont d’abord téléchargés dans un répertoire temporaire. Par défaut, le répertoire "temp" de l’utilisateur actuel est utilisé pour stocker temporairement les fichiers avant qu’ils ne soient automatiquement transférés vers un emplacement permanent dans SYSVOL. Pour choisir un autre répertoire temporaire, cliquez sur le bouton Parcourir.
  6. Une fois le téléchargement terminé, les fichiers sont copiés à l'emplacement suivant dans SYSVOL: \\<yourdomain.com>\SYSVOL\<yourdomain>\Policies\SpecopsPassword\Dictionaries
  7. Cliquez sur OK, et le téléchargement des fichiers commencera. Selon la taille du package, cela peut prendre un certain temps.
  8. Une fois le téléchargement terminé, un message confirmant que la liste a bien été téléchargée et qu’elle est à jour sera affiché. Ce message indique le numéro de version du package téléchargé, la date de publication de la version et la taille du package.

Si le téléchargement se déroule correctement, normalement, il n’est pas nécessaire de procéder à une validation des fichiers téléchargés. Toutefois, s’il est souhaitable de valider l’intégrité des fichiers téléchargés au sein de l’organisation, l’applet de commande Get-PasswordPolicyBppExpressList peut être utilisé. Celui-ci effectuera une vérification de l’intégrité de tous les fichiers dans sysvol et comparera les sommes de contrôle au fichier de métadonnées contenant celles attendues du téléchargement. Veuillez consulter la pour plus d'informations.

Activer Breached Password Protection Express

Une fois la liste Breached Password Protection téléchargée, vous devez activer Breached Password Protection Express, afin que celle-ci s’applique aux objets de stratégie de groupe concernés.

Pour ce faire, procédez comme suit :

  1. Ouvrez l’outil d’administration de domaine de Password Policy.
  2. Sélectionnez le menu Stratégies de mots de passe.
  3. Accédez à la stratégie de l’objet de stratégie de groupe que vous souhaitez modifier (Modifier)
  4. Cliquez sur l’onglet Breached Password Protection, puis sélectionnez le menu Changement de mot de passe.
  5. Cochez la case Interdire les mots de passe dans la liste Express locale.
  6. REMARQUE
    Les notifications ne sont pas disponibles pour Breached Password Protection Express lors du changement de mot de passe, car les utilisateurs recevront un retour immédiat lorsque le mot de passe qu’ils tentent de changer a été compromis.
  7. Cliquez sur Appliquer.
  8. Cliquez sur OK.

Configuration de Breached Password Protection Express pour une analyse continue

  1. Ouvrez l’outil d’administration de domaine de Password Policy.
  2. Sélectionnez le menu Stratégies de mots de passe.
  3. Accédez à la stratégie de l’objet de stratégie de groupe que vous souhaitez modifier (Modifier)
  4. Cliquez sur l’onglet Breached Password Protection, puis sélectionnez le menu Continue.
  5. Dans la liste déroulante Vérifier continuellement les mots de passe compromis, choisissez Utilisation de la liste Express locale.
  6. [Facultatif] Cochez la case Forcer les utilisateurs à changer les mots de passe compromis
    REMARQUE
    Cela signalera au compte de l’utilisateur qu’il devra demander un changement de mot de passe à la prochaine ouverture de session.
  7. [Facultatif] Activez les options de notification par e-mail. Pour plus d’informations sur les notifications, veuillez consulter la .
    REMARQUE
    Les notifications par SMS ne sont pas disponibles pour Breached Password Protection Express.
  8. Cliquez sur Appliquer.
  9. Cliquez sur OK.

Mise à jour de Breached Password Protection Express

La liste des mots de passe divulgués sera mise à jour à intervalles réguliers. La mise à jour sera alors publiée, afin qu'elle soit disponible au téléchargement.

Pour vérifier si une nouvelle version est disponible au téléchargement, procédez comme suit :

  1. Lancez l'outil d'administration de domaine de Password Policy.
  2. Accédez à la section Breached Password Protection.
  3. Cliquez sur l’onglet Breached Password Protection Express (Liste Express).

    Si une nouvelle version de la liste est disponible, une notification indiquera : « Une version mise à jour de la liste des mots de passe divulgués est disponible au téléchargement ».

    Vous verrez également une comparaison entre la version actuelle stockée localement et la version en ligne publiée.

  4. Cliquez sur Télécharger la dernière version et les changements seront appliqués.

Configuration de Breached Password Protection Complete et de Breached Password Protection Express

Vous pouvez configurer et activer simultanément Breached Password Protection Complete et Breached Password Protection Express en cochant les cases Activer Breached Password Protection Complete et Activer Breached Password Protection Express. Si vous avez activé les deux et que vos utilisateurs changent leur mot de passe, Breached Password Protection Express vérifiera si le mot de passe figure sur la liste des mots de passe divulgués qui a été téléchargée. Si le mot de passe se trouve sur la liste Express stockée dans votre environnement local, la règle Breached Password Protection Express empêchera l’utilisateur de choisir ce nouveau mot de passe. S’il ne figure pas sur la liste stockée localement, le mot de passe sera vérifié par rapport à la liste se trouvant dans Breached Password Protection Complete. S’il figure sur la liste en ligne, le compte de l’utilisateur sera marqué d’un indicateur « doit changer de mot de passe », et l’utilisateur devra choisir un mot de passe différent.

Questions fréquentes


Les mots de passe sont-ils envoyés en externe avec Specops Breached Password Protection ?

Non. Le filtre de mot de passe Sentinel génère un hachage bcrypt du nouveau mot de passe de l’utilisateur. Ni le mot de passe ni le hachage bcrypt ne sont exposés. Les premiers octets du hachage bcrypt sont utilisés pour interroger un ensemble de hachages correspondants. La correspondance Breached Password Protection a lieu au sein du réseau de l’organisation.

Quels sont les avantages d’avoir plusieurs Arbitres ? Comment le contrôleur de domaine (qui gère le changement de mot de passe) sélectionne-t-il un arbitre ?

Le fait d’avoir plus d’un arbitre ajoute de la redondance, au cas où un arbitre serait temporairement indisponible. Les arbitres supplémentaires n’ont pas d’influence sur les performances. Le nombre de changements de mot de passe simultanés, pour une organisation avec de nombreux contrôleurs de domaine, ne devrait pas entraîner de problèmes de latence.

S’il y a plusieurs arbitres, le service Breached Password Protection utilisera la répétition alternée lors de la sélection.

Comment l’API de Cloud de Breached Password Protection gère-t-elle les numéros de téléphone et les adresses e-mail lors de l’envoi de notifications par SMS et par e-mail aux utilisateurs ?

L’API de Cloud de Breached Password Protection utilise SendGrid pour les notifications par e-mail et Twilio pour les notifications par SMS. Les demandes de notifications par e-mail et par SMS de l’arbitre à l’API de Cloud de Breached Password Protection sont chiffrées avec TLS. L’ID du client et l’horodatage du message sont stockés dans Graylog. Ni le mot de passe ni le hachage ne sont révélés dans la notification à l’utilisateur.

Y a-t-il des avantages à utiliser Breached Password Protection Complete avec Breached Password Protection Express ?

Oui. Étant donné que les vérifications sont effectuées à des moments différents, il est avantageux d’exécuter les deux. Veuillez également consulter la section Vérifications de Breached Password Protection expliquées sur cette page.