L'une des nombreuses fonctionnalités d'une stratégie de mot de passe Active Directory est âge maximum du mot de passe. Les environnements Active Directory traditionnels utilisent depuis longtemps le vieillissement des mots de passe comme moyen d'améliorer la sécurité des mots de passe. Le vieillissement des mots de passe plus anciens dans la stratégie de mot de passe Active Directory par défaut est relativement limité dans les paramètres de configuration.
Jetons un coup d'œil à quelques bonnes pratiques qui ont changé en matière de vieillissement des mots de passe. Quels contrôles pouvez-vous appliquer le vieillissement des mots de passe à l'aide de la stratégie de mot de passe Active Directory par défaut? Existe-t-il de meilleurs outils que les organisations peuvent utiliser pour contrôler l'âge maximal des mots de passe pour les comptes d'utilisateurs Active Directory?
Sommaire
Quelles bonnes pratiques de vieillissement des mots de passe ont changé?
Le vieillissement des mots de passe pour les comptes d'utilisateurs Active Directory est depuis longtemps un sujet controversé dans les meilleures pratiques de sécurité.
Alors que de nombreuses organisations continuent d'utiliser des règles de vieillissement des mots de passe plus traditionnelles, des organisations de sécurité réputées ont fourni des directives mises à jour pour le vieillissement des mots de passe. Microsoft a annoncé la publication de politiques d'expiration des mots de passe Base de référence de sécurité pour Windows 10 v1903 et Windows Server v1903. le Institut national des normes et de la technologie (NIST) propose depuis longtemps un cadre pour la cybersécurité et des recommandations sur les pratiques de sécurité.
Tel que mis à jour dans SP 800-63B, paragraphe 5.1.1.2 de Lignes directrices pour l'identité numérique – authentification et gestion du cycle de vie, notez les instructions suivantes:
"Les authentificateurs NE DEVRAIENT PAS exiger que des secrets arbitraires soient changés arbitrairement (par exemple à intervalles réguliers). Cependant, les confirmateurs DOIVENT forcer un changement s'il y a une preuve de compromis par l'authentificateur." Le NIST vous aide à expliquer le changement d'orientation sur sa page FAQ qui couvre les directives d'identité numérique.
Ça dit: "Les utilisateurs ont tendance à choisir des secrets stockés plus faibles lorsqu'ils savent qu'ils doivent les modifier dans un proche avenir. Lorsque ces changements se produisent, ils choisissent souvent un secret similaire à l'ancien secret stocké en utilisant un ensemble de transformations courantes telles que pour augmenter le nombre dans le mot de passe.Cette pratique donne un faux sentiment de sécurité si l'un des secrets précédents a été compromis car les attaquants peuvent utiliser les mêmes transformations courantes.Mais s'il existe des preuves que le secret mémorisé a été compromis, par exemple par un violation de la base de données des mots de passe de confirmation ou activité frauduleuse observée, les abonnés devraient être obligés de changer leurs secrets secrets, cependant, ce changement basé sur des événements devrait se produire rarement afin qu'ils soient moins motivés à choisir un secret faible en sachant qu'il ne sera utilisé que pour une période limitée. "
Avec les nouvelles directives des organisations ci-dessus et de nombreuses autres, les experts en sécurité reconnaissent que le vieillissement des mots de passe, du moins en soi, n'est pas nécessairement une bonne stratégie pour empêcher la compromission de mots de passe dans l'environnement.
Les modifications récentes apportées au guide de vieillissement des mots de passe s'appliquent également aux règles de mot de passe Microsoft Active Directory traditionnelles.
Vieillissement des mots de passe de la stratégie de mot de passe Active Directory
Les options de la stratégie de changement de mot de passe dans les stratégies de mot de passe Active Directory standard sont limitées. Vous pouvez configurer l'âge maximal du mot de passe, et c'est tout. Par défaut, Active Directory inclut les paramètres de stratégie de mot de passe suivants:
- Appliquer l'historique des mots de passe
- Âge maximum du mot de passe
- Âge minimum du mot de passe
- Longueur minimale du mot de passe
- Révision minimale de la longueur du mot de passe
- Le mot de passe doit répondre aux exigences de complexité
- Enregistrer les mots de passe à l'aide du cryptage réversible
Lorsque vous double-cliquez sur l'âge maximal du mot de passe, vous pouvez configurer le nombre maximal de jours pendant lesquels un utilisateur peut utiliser le même mot de passe.
Lorsque vous examinez l'explication de l'âge du mot de passe, vous voyez ce qui suit dans le paramètre de stratégie de groupe:
"Ce paramètre de sécurité détermine la période (en jours) pendant laquelle un mot de passe peut être utilisé avant que le système ne demande à l'utilisateur de le modifier. Vous pouvez définir le mot de passe pour qu'il expire après un nombre de jours compris entre 1 et 999, ou vous pouvez spécifier que le mot de passe n'expire jamais en entrant le nombre jours à 0. Si l'âge maximum du mot de passe est compris entre 1 et 999 jours, l'âge minimum du mot de passe doit être inférieur à l'âge maximum du mot de passe. Si l'âge maximum du mot de passe est défini sur 0, l'âge minimum du mot de passe doit être age peut être n'importe quelle valeur comprise entre 0 et 998 journées. "
Définir l'âge maximal du mot de passe avec la stratégie de mot de passe Active Directory |
Avec le paramètre de stratégie par défaut, vous pouvez réellement activer ou désactiver la stratégie, puis définir le nombre de jours avant l'expiration du mot de passe utilisateur. Et si vous disposiez de plusieurs options pour contrôler l'âge maximal du mot de passe et définir des valeurs différentes en fonction de la complexité du mot de passe?
Politique de mot de passe basée sur la longueur de Specop
Comme mentionné, les conseils récents de nombreuses autorités de sécurité en ligne recommandent d'éviter les changements de mot de passe forcés et décrivent les raisons de ce changement. Cependant, de nombreuses entreprises peuvent toujours profiter du vieillissement des mots de passe dans le cadre de leur stratégie globale de sécurité des mots de passe pour se protéger contre les mots de passe des utilisateurs qui tombent entre de mauvaises mains. Et si les administrateurs informatiques disposaient de fonctionnalités en plus de celles offertes par Active Directory?
La stratégie de mot de passe Specops fournit de nombreuses fonctionnalités supplémentaires par rapport aux paramètres de stratégie de mot de passe Active Directory standard, y compris l'expiration du mot de passe. L'une des options de la politique de mot de passe Specops est appelée «Vieillissement du mot de passe basé sur la longueur.
À l'aide de ce paramètre, les organisations peuvent définir différents «niveaux» d'expiration du mot de passe en fonction de la longueur du mot de passe utilisateur. Il permet beaucoup plus de détails sur la façon dont les organisations configurent le vieillissement des mots de passe dans un environnement Active Directory par rapport aux paramètres de configuration de la stratégie de mot de passe Active Directory standard.
Il permet également de cibler les mots de passe les plus faibles de l'environnement et de les forcer à vieillir le plus rapidement. Vous remarquerez à l'écran. Le vieillissement du mot de passe basé sur la longueur dans la politique de mot de passe de Specop est hautement configurable.
Il contient les paramètres suivants:
- Nombre de niveaux de sortie – Spécifiez le nombre de niveaux de sortie. Un niveau d'expiration détermine le nombre de jours supplémentaires dont dispose l'utilisateur avant l'expiration du mot de passe, et il doit le modifier. Cela dépend de la durée du mot de passe de l'utilisateur. Pour augmenter le nombre de niveaux, déplacez le curseur vers la droite. Le nombre maximum de niveaux de sortie pouvant exister est de 5.
- Personnages par niveau – Nombre de caractères supplémentaires par niveau qui définit les jours supplémentaires dans l'expiration du mot de passe
- Jours supplémentaires par niveau – Combien de jours d'expiration supplémentaires vaut chaque niveau.
- Désactiver la prise de dernier niveau – Les mots de passe qui répondent aux exigences du niveau d'expiration final de la liste n'expirent pas.
Configurez la politique de mot de passe basée sur la longueur dans la politique de mot de passe de Specop |
Specops facilite la notification des utilisateurs finaux lorsque leur mot de passe est sur le point d'expirer. Il informera les utilisateurs finaux en se connectant ou en envoyant une alerte email. Vous pouvez configurer les jours avant la valeur d'expiration pour chacun de ces paramètres.
Configurer les alertes d'expiration de mot de passe dans la politique de mot de passe de Specop |
Les organisations définissent la configuration minimale et maximale de la longueur du mot de passe dans Règles de mot de passe la zone de configuration de la politique de mot de passe Specops. La modification des configurations de longueur de mot de passe minimale et maximale modifie également les valeurs de longueur de mot de passe dans chaque niveau d'expiration de mot de passe basée sur la longueur.
Configurer la longueur minimale et maximale du mot de passe |
Combiné avec d'autres fonctionnalités de politique de mot de passe Specops, par exemple protection par mot de passe cassé, l'expiration du mot de passe basée sur la longueur renforce les directives de mot de passe pour les travailleurs locaux et externes.
Emballage
Le vieillissement des mots de passe est depuis longtemps une caractéristique des stratégies de mot de passe Active Directory dans la plupart des environnements d'entreprise. Cependant, à mesure que les attaquants améliorent leur capacité à compromettre les mots de passe, les nouvelles directives de sécurité ne recommandent pas aux organisations d'utiliser le vieillissement des mots de passe standard.
La stratégie de mot de passe Specops fournit des fonctionnalités de vieillissement de mot de passe convaincantes qui vous permettent d'étendre les fonctionnalités de vieillissement de mot de passe par rapport aux règles de mot de passe Active Directory standard. En ajoutant des niveaux d'expiration, la politique de mot de passe Specops permet de cibler efficacement les mots de passe cibles de l'environnement en vieillissant rapidement ces mots de passe. Les utilisateurs finaux peuvent utiliser des mots de passe forts beaucoup plus longtemps.
Les organisations peuvent même décider de ne jamais émettre de mots de passe spécifiques qui respectent la longueur de mot de passe définie. L'utilisation des fonctionnalités de politique de mot de passe de Specop, y compris l'expiration des mots de passe basée sur la longueur, permet de garantir une sécurité de mot de passe plus robuste dans l'environnement. Cliquez ici pour en savoir plus.
Commentaires
Laisser un commentaire