La sécurité des mots de passe est depuis longtemps un problème pour les entreprises et leurs normes de cybersécurité. Les mots de passe de compte sont souvent le maillon le plus faible de la sécurité globale de nombreuses organisations.

De nombreuses entreprises utilisent les politiques de mot de passe par défaut de Microsoft depuis des décennies. Bien que ceux-ci puissent être personnalisés, les entreprises acceptent souvent les valeurs par défaut de leur organisation.

La politique de mot de passe par défaut de Windows est un bon début, mais y a-t-il des vulnérabilités de sécurité qui lui sont associées? Examinons les recommandations actuelles des principales autorités de cybersécurité et voyons comment elles se comparent à la politique de mot de passe par défaut de Windows.

Paramètres de stratégie de mot de passe par défaut de Windows

Aujourd’hui, de nombreux environnements d’entreprise, sinon la plupart, utilisent Microsoft Active Directory comme solution de gestion des identités et des accès dans l’entreprise. Active Directory a servi les organisations à ce titre pendant des décennies.

L’une des fonctionnalités intégrées fournies par les services de domaine Microsoft Active Directory (ADDS) est la capacité intégrée de fournir politique de mot de passe pour une organisation.

Qu’est-ce qu’un politique de mot de passe? Une stratégie de mot de passe fournit l’ensemble des caractéristiques de mot de passe requises que les utilisateurs finaux doivent respecter lors du choix du mot de passe de leur compte. Vous trouverez ci-dessous un aperçu de la configuration de la stratégie de mot de passe de la stratégie de domaine par défaut Active Directory avec des valeurs typiques que de nombreuses organisations peuvent utiliser.

Un contrôleur de domaine Windows Server 2019 nouvellement promu Stratégie de groupe de domaine par défaut affiche les paramètres par défaut de la politique de mot de passe.

Stratégie de groupe de domaine
Paramètres de stratégie de mot de passe Windows par défaut définis dans la stratégie de groupe de domaine par défaut

Comme vous pouvez le voir, des paramètres de stratégie spécifiques sont configurés pour vous par défaut. Ceux-ci inclus:

  • Appliquer l’historique des mots de passe – 24 mots de passe mémorisés
  • Âge maximum du mot de passe – 42 jours
  • Âge minimum du mot de passe – Un jour
  • Longueur minimale du mot de passe – 7 caractères
  • Le mot de passe doit répondre aux exigences de complexité – Activé
  • Stocker les mots de passe à l’aide d’un cryptage réversible – Désactivée

Comment ces valeurs par défaut répondent-elles aux recommandations actuelles des principales autorités de cybersécurité concernant les recommandations de mots de passe?

Les paramètres de stratégie de mot de passe par défaut de Windows ne sont-ils pas sécurisés?

Il y a eu des changements et des recommandations fortes faites ces dernières années concernant la sécurité des mots de passe qui représentent un changement dans les recommandations de sécurité des mots de passe. Les experts en cybersécurité du secteur insistent sur la nécessité de vérifier les mots de passe par rapport aux listes de mots de passe faibles connus (dictionnaires) et se concentrent moins sur les politiques d’expiration des mots de passe qui font depuis longtemps partie des politiques de mot de passe d’entreprise.

Le Institut national des normes et de la technologie (NIST) a publié la publication spéciale NIST 800-63B (Directives d’identité numérique – Authentification et gestion du cycle de vie).

Dans la section 5.1.1, “ Secrets mémorisés ”, ils notent ces conseils spécifiques en ce qui concerne la comparaison des mots de passe avec les mots de passe connus d’un dictionnaire ou d’une liste de violations:

“Lors du traitement des demandes d’établissement et de modification de secrets mémorisés, les vérificateurs DOIVENT comparer les secrets potentiels à une liste qui contient des valeurs connues pour être couramment utilisées, attendues ou compromises. Par exemple, la liste PEUT inclure, mais sans s’y limiter:

  • Mots de passe obtenus à partir de corpus de violation précédents.
  • Mots du dictionnaire.
  • Caractères répétitifs ou séquentiels (par exemple «aaaaaa», «1234abcd»).
  • Mots spécifiques au contexte, tels que le nom du service, le nom d’utilisateur et les dérivés
  • celui-ci. “

Une autre section du guide du NIST à noter concernant les changements de mot de passe obligatoires à intervalles réguliers:

“Les vérificateurs NE DEVRAIENT PAS exiger que les secrets mémorisés soient modifiés arbitrairement (par exemple, périodiquement). Cependant, les vérificateurs DOIVENT forcer un changement s’il y a des preuves de compromission de l’authentificateur.”

Les conseils du NIST concernant les changements périodiques de mot de passe sont désormais passivement recommandés par Microsoft. Dans le Base de référence de sécurité (DRAFT) pour Windows 10 v1903 et Windows Server v1903, Microsoft note ce qui suit concernant les changements de mot de passe périodiques appliqués:

«Des recherches scientifiques récentes remettent en question la valeur de nombreuses pratiques de sécurité des mots de passe de longue date telles que les stratégies d’expiration des mots de passe, et pointent plutôt vers de meilleures alternatives telles que l’application de listes de mots de passe interdits (un excellent exemple étant la protection par mot de passe Azure AD) Facteur d’authentification. Bien que nous recommandions ces alternatives, elles ne peuvent pas être exprimées ou appliquées avec nos lignes de base de configuration de sécurité recommandées, qui reposent sur les paramètres de stratégie de groupe intégrés de Windows et ne peuvent pas inclure de valeurs spécifiques au client. “

Les conseils de Microsoft aident à signaler une faille avec les fonctionnalités de stratégie de groupe Active Directory intégrées. Il n’y a pas de moyen intégré pour appliquer facilement les mots de passe interdits. Bien que Microsoft documente le processus d’enregistrement d’un filtre de mot de passe .dll dans son guide ici, les organisations doivent écrire leurs propres fichiers .dll de filtre de mot de passe personnalisé. Ce processus peut comporter son propre ensemble de défis.

En examinant les autres paramètres par défaut de la stratégie de mot de passe de stratégie de groupe activés, la longueur minimale du mot de passe de 7 caractères est inférieure à ce qui est noté par de nombreuses meilleures pratiques de cybersécurité et recommandations des principales autorités.

Notez ci-dessous la longueur minimale du mot de passe standard de la politique de mot de passe spécifique et s’ils recommandent de comparer les mots de passe avec une liste de dictionnaires.

  • Institut SANS (administrateurs) – 12 caractères, dictionnaire
  • NIST – 8 caractères, dictionnaire
  • NCSC – dictionnaire
  • Microsoft Technet – 14 caractères
  • Recherche Microsoft – 8 caractères, dictionnaire

Comment les organisations peuvent-elles facilement auditer leurs politiques de mot de passe actuelles dans leur environnement et s’assurer qu’elles respectent les meilleures pratiques recommandées en matière de sécurité des mots de passe? Comment les listes de mots de passe interdits peuvent-elles être facilement implémentées dans les environnements Active Directory sans cette fonctionnalité intégrée?

Auditeur de mot de passe Specops et politique de mot de passe

Les deux Auditeur de mot de passe Specops (Gratuit) et Politique de mot de passe Specops de Specops Software fournissent des outils extrêmement robustes qui peuvent aider les organisations à auditer leurs politiques de mot de passe actuelles et à mettre en œuvre rapidement une protection par mot de passe contre les violations et des dictionnaires personnalisés.

Les organisations peuvent implémenter cette fonctionnalité sans avoir besoin de programmer et de développer un filtre de mot de passe personnalisé .dll.

Specops Password Auditor offre un moyen simple de gagner rapidement en visibilité sur les risques liés à la sécurité des mots de passe dans votre environnement. Cela inclut notamment les comptes avec mots de passe vides, les mots de passe définis pour ne pas expirer, mots de passe violés, des comptes d’administrateur obsolètes et bien d’autres. L’une des fonctionnalités qu’il offre est la possibilité de vérifier vos stratégies de mot de passe.

Ci-dessous, le vérificateur de mots de passe Specops vous permet d’auditer rapidement et facilement vos politiques de mot de passe de domaine actuelles et de les comparer aux principales recommandations de politique de mot de passe standard de l’industrie.

Comparaison de la stratégie de domaine Active Directory avec les recommandations des meilleures pratiques du secteur pour les mots de passe

Vous pouvez explorer chaque recommandation et voir quelle exigence spécifique n’est pas satisfaite par votre stratégie de mot de passe Active Directory actuelle.

Affichage des paramètres de stratégie de mot de passe par rapport aux meilleures pratiques spécifiques du secteur

En plus de la visibilité et des fonctionnalités fournies par Specops Password Auditor, Specops Password Policy fournit un moyen facile de mettre en œuvre listes de mots de passe interdits dans votre environnement Active Directory. Il va également plus loin en vous permettant de mettre en œuvre une protection par mot de passe contre les violations.

Protection par mot de passe violée par la politique de mot de passe Specops

Vous pouvez également forcer les utilisateurs à changer de mot de passe si leur mot de passe est violé.

Forcer un changement de mot de passe en cas de violation du mot de passe d’un utilisateur final

La fonctionnalité de liste de mots de passe violés et interdits fournie par la politique de mot de passe Specops étend la politique de mot de passe par défaut de Windows. Par conséquent, les organisations ont une politique de mot de passe beaucoup plus robuste et sécurisée pour leur environnement.

Emballer

La sécurité par mot de passe est cruciale pour la sécurité globale efficace de vos données critiques pour votre entreprise. Les pirates informatiques utilisent couramment le vol d’informations d’identification comme un moyen facile d’accéder à votre infrastructure informatique.

Les services de domaine Microsoft Active Directory (ADDS) sont une solution largement utilisée dans la plupart des environnements d’entreprise pour la gestion des identités et des accès. Il gère également l’application de la politique de mot de passe pour beaucoup.

La stratégie de mot de passe par défaut de Windows telle que configurée et appliquée par Active Directory est insuffisante dans de nombreux domaines. Notamment, il ne dispose d’aucune capacité intégrée pour vérifier les mots de passe par rapport aux listes de dictionnaires personnalisés ou aux listes de mots de passe violés.

L’auditeur de mot de passe et la politique de mot de passe Specops aident les entreprises à obtenir rapidement une visibilité sur les risques liés aux mots de passe dans l’environnement et à ajouter facilement des mots de passe interdits et une protection de liste de mots de passe violés.

Télécharger Specops Password Auditor.



Leave a Reply