Sommaire
Dans cet article, nous allons passer en revue l'ensemble des points sur lesquels il est important de s'attarder lorsque l'on souhaite déployer une stratégie de mot de passe au sein d'un domaine Active Directory ou d'une application.
La stratégie de mot de passe, ou politique de mot de passe, définit les règles qui encadrent le format et le cycle de vie des mots de passe. Celle-ci peut être appliquée au sein d'un système local, d'une application web, d'une solution SSO ou encore de tout un domaine Active Directory.
Dans le contexte actuel où les cyberattaques, le phishing, les vols de données et leurs reventes sont monnaie courante. Il est important de s'assurer que notre stratégie et politique de mot de passe répondre aux besoins de sécurité de votre organisation et des menaces qui pèsent sur elle.
L'idée de cet article est donc de vous aider à vous poser les bonnes questions pour vous assurer que votre stratégie de mot de passe soit complète et réponde à l'ensemble des problématiques de sécurité actuelles. Nous verrons aussi quelques solutions techniques qui permettent de mettre en place cette stratégie, notamment sur un Active Directory. Je vous proposerai en fin d'article des ressources supplémentaires pour aller plus loin dans cette démarche.
Commençons par passer en revue les composants basiques de toute politique de mot de passe, à commencer par les règles qui permettent de définir le format des mots de passe.
Ce paramètre impose un nombre minimum de caractères que doit contenir un mot de passe. Cet attribut a un impact direct sur son entropie, donc sur sa robustesse. C'est l'un des critères les plus faciles à évaluer et à contraindre.
Logique de sécurité :
Plus un mot de passe est long, plus l'attaquant devra réaliser de tentative pour casser son hash ou le trouver dans le cadre d'une attaque par brute force. Cela tout simplement parce que l'espace des caractères à trouver est plus grand. À ce titre, l'ANSSI recommande de ne jamais limiter la longueur maximale des mots de passe afin de permettre l'usage de passphrase ou de longs mots de passe.
La complexité s'évalue grâce à l'entropie, qui détermine le niveau d'aléatoire dans la composition du mot de passe. Elle est classiquement mesurée par le nombre d'alphabets utilisés (majuscules, minuscules, chiffres, caractères spéciaux) dans celui-ci.
Logique de sécurité :
Plus un mot de passe est long et contient d'éléments provenant de différents alphabets, plus il est complexe. Par exemple, l'utilisation des minuscules uniquement donnera 26 possibilités par caractère. Si l'utilisateur se base sur les 4 alphabets, il aura à disposition :