Détection de mot de passe violé

Le renforcement des politiques de mot de passe dans votre organisation est un élément important d’une solide stratégie de cybersécurité. Les cybercriminels utilisent les comptes compromis comme l’une de leurs tactiques préférées pour infiltrer les environnements critiques pour l’entreprise ; comme nous l’avons vu dans l’actualité récente, ces attaques peuvent être dangereuses et avoir un impact financier.

Malheureusement, la compromission de compte est une méthode d’attaque très efficace et nécessite beaucoup moins d’efforts que les autres vecteurs d’attaque.

L’un des types essentiels de protection par mot de passe recommandé par les normes de cybersécurité notées est détection de mot de passe piraté. Les pirates informatiques utilisent souvent des listes de mots de passe violés connus dans les attaques de bourrage d’informations d’identification ou de pulvérisation de mots de passe.

Voici quelques critères essentiels à prendre en compte lorsque vos administrateurs système évaluent des solutions de protection par mot de passe violé.

Recommandations de mots de passe violés

Au cours des dernières années, les recommandations de sécurité des mots de passe ont évolué au-delà des recommandations traditionnelles concernant la sécurité des mots de passe.

Les entreprises utilisent Microsoft Active Directory depuis des années pour mettre en œuvre des politiques de mot de passe dans l’organisation. Les stratégies de mot de passe Active Directory standard incluent des paramètres de configuration de mot de passe minimaux.

Vous trouverez ci-dessous un exemple des paramètres proposés avec une stratégie de mot de passe Active Directory conventionnelle :

  • Appliquer l’historique des mots de passe
  • Âge maximal du mot de passe
  • Âge minimum du mot de passe
  • Longueur minimale du mot de passe
  • Audit de la longueur minimale du mot de passe
  • Le mot de passe doit répondre aux exigences de complexité
  • Stocker le mot de passe à l’aide d’un cryptage réversible

Par défaut, les stratégies de mot de passe Active Directory n’incluent pas de solution pour implémenter la protection par mot de passe violé.

Paramètres de stratégie de mot de passe Active Directory
Paramètres de stratégie de mot de passe Active Directory

Pourquoi est-il important pour les entreprises de commencer à penser à la protection par mot de passe violé ? Examinons les recommandations de bonnes pratiques des principales autorités en matière de conseils en matière de cybersécurité.

Nouvelles recommandations de politique de mot de passe

Comme mentionné, les stratégies de mot de passe traditionnelles créées à l’aide d’Active Directory sont limitées en termes de fonctionnalités et de capacités. Ceux-ci permettent de créer des politiques de mot de passe de base avec une longueur, une complexité, un âge et d’autres exigences standard. Cependant, il n’existe aucun moyen d’utiliser la fonctionnalité native pour mettre en œuvre une protection par mot de passe violé.

Bien qu’il existe un moyen de mettre en œuvre un filtre de mot de passe .dll dans Active Directory pour fournir une protection par dictionnaire de mots de passe, il s’agit d’un processus manuel reposant sur le développement de fichiers .dll de filtres de mots de passe personnalisés.

Nouvelles directives de politique de mot de passe des principales autorités de cybersécurité telles que le Institut national des normes et de la technologie (NIST) recommander une protection par mot de passe violé. La publication spéciale NIST 800-63B SP 800-63B Section 5.1.1.2 paragraphe 9 stipule :

« Les vérificateurs NE DEVRAIENT PAS imposer d’autres règles de composition (par exemple, exiger des mélanges de différents types de caractères ou interdire des caractères répétés consécutivement) pour les secrets mémorisés. Les vérificateurs NE DEVRAIENT PAS exiger que les secrets mémorisés soient modifiés arbitrairement (par exemple, périodiquement). Cependant, les vérificateurs DEVRAIENT forcer un changement s’il existe des preuves de compromission de l’authentificateur.”

Fondamentalement, les directives du NIST recommandent aux organisations de forcer un changement de mot de passe s’il existe des preuves d’une violation. Pour que les entreprises aient la preuve d’une violation de mot de passe, elles doivent disposer d’un moyen de surveiller le paysage des mots de passe pour détecter les mots de passe violés. En plus de surveiller les violations de mots de passe, à mesure que les utilisateurs choisissent de nouveaux mots de passe, les nouveaux choix de mots de passe doivent être vérifiés.

Évaluation des services de détection de mots de passe piratés

Détection de mot de passe piraté est une bonne pratique recommandée pour une couche supplémentaire de prévention des cyberattaques. Considérez les fonctions suivantes comme des éléments indispensables auxquels vous devez prêter une attention particulière lors du choix d’une solution :

  1. Facilité de déploiement
  2. Surveillance proactive
  3. Changements de mot de passe proactifs
  4. Taille de la base de données de mots de passe violée
  5. Intégration avec les politiques de mot de passe Active Directory actuelles
  6. Facilité de déploiement

Une considération essentielle que les entreprises doivent prendre en compte lors du choix d’une solution de mot de passe piraté par un tiers est la facilité de déploiement. Recherchez des solutions faciles à déployer à l’aide de l’infrastructure Active Directory existante. Les solutions difficiles à déployer entraîneront probablement des problèmes de configuration et des défis liés à la mise en œuvre et au délai de rentabilisation. Recherchez des solutions qui utilisent l’infrastructure Active Directory existante ainsi qu’une stratégie de groupe qui permet d’utiliser rapidement les stratégies et l’infrastructure existantes.

1 — Surveillance proactive

L’une des exigences essentielles pour la protection par mot de passe violé est la surveillance proactive. Les organisations ont besoin d’une solution qui vérifie un mot de passe pendant l’opération de définition de mot de passe et surveille de manière proactive le paysage des mots de passe pour trouver les mots de passe susceptibles d’être violés. Cette fonctionnalité permet de garantir que les mots de passe qui ne peuvent pas être piratés lors de la création, mais qui le seront plus tard, sont correctement identifiés et peuvent être corrigés.

2 — Modifications proactives du mot de passe

En s’intégrant dans la surveillance proactive des mots de passe violés dans l’environnement, les organisations doivent rechercher une solution de protection par mot de passe violé qui oblige de manière proactive les utilisateurs finaux à modifier leur mot de passe en cas de violation. Cette fonctionnalité permet de s’assurer que tous les mots de passe violés dans l’environnement sont corrigés le plus rapidement possible.

3 – Taille de la base de données de mots de passe violée

Gardez à l’esprit que tous les services de protection par mot de passe violés ne sont pas égaux en nombre de mots de passe violés vérifiés. Les bases de données de mots de passe violés peuvent varier d’un service à l’autre. Plus la base de données de mots de passe piratés est étendue, meilleure est la protection contre les mots de passe piratés. Si la quantité de mots de passe violés n’est pas communiquée de manière transparente, demandez directement au fournisseur combien sont inclus dans leurs listes de backend.

4 — Intégration avec les politiques de mot de passe Active Directory actuelles

Protection par mot de passe piraté Specops
Protection par mot de passe piraté Specops

Recherchez une solution de protection par mot de passe violée qui peut s’intégrer aux politiques de mot de passe Active Directory actuelles. Cela signifie que vous pouvez laisser en place les attributions d’objets de stratégie de groupe qui attribuent diverses stratégies de mot de passe à des utilisateurs spécifiques et aideront à éviter de « réinventer la roue ».

Protection par mot de passe piraté Specops

le Solution de politique de mot de passe Specops permet aux organisations d’avoir une puissante protection par mot de passe violé dans le cadre de la sécurité des mots de passe de l’environnement. Les fonctionnalités incluent toutes les principales exigences, telles que :

  1. Surveillance proactive des mots de passe piratés et application de la modification des mots de passe
  2. Déploiement et intégration faciles avec les stratégies de mot de passe existantes basées sur les objets de stratégie de groupe Active Directory
  3. Base de données de mots de passe violée téléchargeable ou protection basée sur l’API
  4. Base de données gérée de plus de 2 milliards de mots de passe et en croissance
  5. Avec l’approche basée sur l’API, vous bénéficiez d’une protection par mot de passe violé en temps réel pour les mots de passe de votre organisation

En utilisant la politique de mot de passe Specops avec protection par mot de passe violé, vous pouvez facilement déployer la protection par mot de passe violé à l’aide des politiques de mot de passe Active Directory basées sur les GPO qui sont déjà en place.

Pour approfondir la politique de mot de passe de Specops avec protection par mot de passe violé, commencer un essai gratuit à tout moment.



Leave a Reply