Cadre NIST

Les mots de passe des utilisateurs finaux sont l’un des composants les plus faibles de vos protocoles de sécurité globaux. La plupart des utilisateurs ont tendance à réutiliser les mots de passe dans leurs comptes professionnels et personnels.

Ils peuvent également choisir des mots de passe relativement faibles qui satisfont les politiques de mot de passe de l’entreprise, mais qui peuvent être facilement devinés ou forcés. Vos utilisateurs peuvent également utiliser par inadvertance mots de passe violés pour le mot de passe de leur compte d’entreprise.

le Institut national des normes et de la technologie (NIST) dispose d’un cadre de cybersécurité qui aide les organisations à surmonter les pièges courants de la cybersécurité dans leur environnement, y compris les mots de passe faibles, réutilisés et violés. Cet article examinera de plus près les directives de mot de passe du NIST et verra comment vous pouvez vérifier efficacement vos politiques de mot de passe pour vous assurer qu’elles répondent aux normes recommandées par le NIST.

Directives et bonnes pratiques relatives aux mots de passe NIST

Des conseils spécifiques concernant les mots de passe sont traités dans le chapitre intitulé Vérificateurs de secrets mémorisés. Le NIST a plusieurs recommandations concernant les mots de passe:

  • Les mots de passe ne doivent pas être inférieurs à huit caractères en longueur
  • Les caractères ASCII sont acceptables avec les espaces
  • Si un fournisseur de services choisit au hasard des mots de passe, ceux-ci doivent être au moins six personnages en longueur
  • Les mots de passe doivent être comparé à une liste de connus couramment utilisés, attendus ou compromis mots de passe.

Quels types de mots de passe sont couramment utilisés, attendus ou compromis?

  • Précédemment mots de passe violés
  • Mots du dictionnaire
  • Caractères séquentiels ou répétitifs
  • Mots spécifiques au contexte (y compris le nom d’utilisateur, le nom de l’entreprise, etc.)

Le NIST recommande également les autres mécanismes de sécurité par mot de passe suivants, notamment:

  • Échec des tentatives de connexion avec limitation du débit,
  • Ne pas forcer les utilisateurs à changer leur mot de passe après un nombre arbitraire de jours,
  • Forcer un changement de mot de passe en cas de preuve d’une compromission du mot de passe du compte (c’est-à-dire, mot de passe exposé lors d’une violation),
  • Des conseils devraient être offerts aux utilisateurs quant aux exigences spécifiques de la politique de mot de passe.

Audit des stratégies de mot de passe Active Directory

Aujourd’hui, la plupart des entreprises utilisent Microsoft Active Directory comme source d’identité centralisée et solution de gestion des accès. Beaucoup utilisent les stratégies de mot de passe Active Directory intégrées fournies par la stratégie de groupe. Les stratégies de mot de passe intégrées dans le cadre des stratégies de compte de stratégie de groupe fournissent des fonctionnalités de base pour créer des stratégies de mot de passe pour votre environnement Active Directory.

Voici un exemple de Politique de domaine par défaut configuré avec les paramètres de stratégie de mot de passe par défaut, notamment:

  • Âge maximum du mot de passe
  • Âge minimum du mot de passe
  • Longueur minimale du mot de passe
  • Le mot de passe doit répondre aux exigences de complexité
Une stratégie de mot de passe de stratégie de domaine par défaut

Comme vous pouvez le voir dans les propriétés de la politique de mot de passe, il n’y a aucun moyen intégré pour détecter mots de passe violés ou téléchargez un fichier de liste de mots de passe pour fins du dictionnaire personnalisé. Selon les directives de mot de passe recommandées par le NIST, cette politique ne correspondrait pas à la norme NIST.

Que faire si vous avez de nombreuses stratégies de mot de passe différentes avec potentiellement de nombreux paramètres et configurations de mot de passe différents? Comment auditez-vous efficacement vos stratégies de mot de passe Active Directory pour voir comment elles sont conformes aux recommandations des normes NIST et autres?

Specops Password Auditor – Visibilité sur le NIST et d’autres normes de cybersécurité

Et si vous disposiez d’un outil offrant une visibilité sur toutes vos stratégies de mot de passe Active Directory et comment celles-ci sont conformes aux principales normes du secteur? Auditeur de mot de passe Specops est un outil robuste qui vous permet non seulement d’avoir une visibilité rapide sur les mots de passe dangereux dans votre environnement Active Directory. Il vous permet également d’auditer rapidement les politiques de mot de passe existantes par rapport aux principales normes de cybersécurité pour vérifier leur conformité.

Comme vous pouvez le voir, l’outil Specops Password Auditor vous permet d’avoir une visibilité rapide des mots de passe à risque dans l’environnement Active Directory de votre organisation. Ceux-ci inclus:

  • Mots de passe vides
  • Mots de passe violés
  • Mots de passe identiques
  • Comptes d’administrateur
  • Comptes d’administrateur périmés
  • Mot de passe non requis
  • Le mot de passe n’expire jamais
  • Mots de passe expirant
  • Mots de passe expirés
  • Politiques de mot de passe
  • Utilisation de la politique de mot de passe
  • Conformité à la politique de mot de passe
Auditeur de mot de passe Specops
Auditeur de mot de passe Specops

Auditeur de mot de passe Specops Conformité à la politique de mot de passe rapport compare les paramètres de vos stratégies de mot de passe Active Directory existantes avec les normes suivantes:

  • Recherche MS
  • MS TechNet
  • NCSC
  • NIST
  • PCI
  • Administrateur SANS
  • Utilisateurs SANS

Vous pouvez voir rapidement si vos politiques de mot de passe existantes répondent aux exigences recommandées par les différentes normes de cybersécurité. Cela compense un fardeau énorme de l’administrateur informatique ou de la sécurité lors de la réalisation d’audits pour aligner les politiques de sécurité sur différents cadres de cybersécurité, comme le NIST. Comme vous pouvez le voir, le cloud.local la politique n’est pas conforme au NIST.

Conformité à la politique de mot de passe
Rapport de conformité à la politique de mot de passe de Specops Password Auditor

Si vous cliquez sur la «boîte rouge» sous NIST pour la politique de mot de passe de domaine spécifique, vous obtiendrez un aperçu détaillé des raisons pour lesquelles la politique ne respecte pas la norme particulière. Nous voyons que les paramètres de longueur minimale et de dictionnaire échouent.

Politique de mot de passe NIST
Comparaison de votre politique de mot de passe avec la norme NIST

Utilisation de Specops Password Auditor et de la politique de mot de passe Specops

L’auditeur de mot de passe Specops offre une excellente visibilité sur la façon dont vos politiques de mot de passe Active Directory se comparent aux normes de cybersécurité standard de l’industrie. Supposons que vous souhaitiez faire passer cette fonctionnalité au niveau supérieur. Dans ce cas, la politique de mot de passe Specops offre la possibilité de créer facilement des politiques de mot de passe entièrement conformes au NIST et à d’autres cadres de cybersécurité.

À l’aide de la stratégie de mot de passe Specops, vous pouvez facilement implémenter les composants les plus avancés de vos stratégies de mot de passe Active Directory, notamment fichiers de dictionnaire personnalisés et protection par mot de passe violée.

Protection par mot de passe violée
Protection des mots de passe violés par la politique de mot de passe Specops

Emballer

Le maintien de la visibilité et de la conformité dans votre environnement Active Directory avec les meilleures pratiques de cybersécurité recommandées telles que NIST est un excellent moyen de renforcer la sécurité de votre environnement. NIST est un cadre de cybersécurité standard bien connu de l’industrie qui fournit d’excellents conseils pour la sécurité des mots de passe.

La plupart des entreprises utilisent aujourd’hui les stratégies de mot de passe Active Directory dans l’environnement. La réalisation d’audits de vos politiques de mot de passe par rapport à la norme NIST permet de voir tous les domaines de vos politiques existantes qui peuvent avoir besoin d’être revus.

Auditeur de mot de passe Specops rend ce processus extrêmement facile. Il extrait automatiquement tous les paramètres des politiques de mot de passe existantes dans l’environnement et les compare avec les cadres de cybersécurité standard de l’industrie, tels que NIST. La politique de mot de passe Specops permet d’implémenter facilement les recommandations NIST et d’autres telles que les dictionnaires personnalisés et la protection par mot de passe contre les violations.



Leave a Reply