Durcissement des mots de passe Active Directory : comment procéder

Les mots de passe faibles sont un problème qui ne demande qu’à arriver – Verizon estime que 80 % des violations liées au piratage proviennent de mots de passe faibles ou volés. Ils constituent le moyen le plus courant pour les utilisateurs d’accéder à leurs comptes et applications, ce qui en fait une voie d’attaque évidente pour les acteurs malveillants. Ce risque incite les organisations à mettre en place un processus de « durcissement des mots de passe » pour améliorer leur sécurité globale des mots de passe.

Le concept de durcissement des mots de passe Active Directory est simple : utiliser une technique ou une technologie pour rendre un mot de passe plus difficile à deviner, pirater ou craquer. Cela améliore à son tour la sécurité de l’appareil, du réseau ou de l’application que le mot de passe protège. Nous passerons en revue quelques méthodes de durcissement des mots de passe, donnerons un exemple concret d’une politique de mots de passe Active Directory durcie, et vous montrerons quelques outils pour éliminer définitivement les mots de passe faibles de votre organisation.

Qu’est-ce que le durcissement des mots de passe ?

Le durcissement des mots de passe réduit la surface d’attaque dans l’ensemble des organisations, rendant des centaines voire des milliers de fenêtres d’attaque plus petites pour les cybercriminels. De nombreuses organisations s’appuient sur les paramètres de mots de passe par défaut d’Active Directory, qui ne sont pas les plus sécurisés. Elles peuvent également choisir de forcer la réinitialisation des mots de passe à intervalles réguliers et d’ajouter des composants de complexité spécifiques (par exemple, les mots de passe doivent faire plus de 8 caractères et contenir un chiffre, une majuscule et un caractère spécial).

Cependant, un ancien mot de passe n’est pas toujours mauvais. Et un mot de passe avec une variété de caractères imposée n’est pas fort s’il a été précédemment compromis ou suit un modèle qui peut être facilement deviné. La microgestion des réinitialisations de mots de passe peut également conduire à la frustration des utilisateurs, qui réutilisent des mots de passe similaires ou ajoutent simplement des chiffres ou des symboles à la fin des anciens.

Voici quatre façons de vraiment durcir la sécurité de vos mots de passe, sans introduire de friction inutile pour les utilisateurs.

Trois conseils de durcissement des mots de passe Active Directory

1. Créer des mots de passe plus forts

Cette partie du durcissement des mots de passe semble évidente, mais un nombre surprenant de personnes utilisent encore de mauvais mots de passe. Le conseil habituel des employeurs est d’ajouter des caractères spéciaux et des majuscules aux mots de passe en texte brut. Cependant, grâce au comportement humain prévisible, cela ne les rend pas beaucoup plus difficiles à deviner. Par exemple, beaucoup se contenteront de mettre en majuscule la première lettre et d’ajouter une combinaison courante de chiffres et de symboles comme 1! à la fin.

La plupart des gens savent qu’un mot de passe plus long est meilleur – mais ne vont pas assez loin. Avoir un mot de passe plus long de plus de 15 ou même 20 caractères ou plus est plus difficile à craquer qu’un mot de passe court mais complexe. C’est là que les phrases de passe peuvent aider. Les phrases de passe composées de mots aléatoires sont plus longues mais aussi plus faciles à retenir pour les gens que des symboles et chiffres mélangés, offrant un bon équilibre entre sécurité et expérience utilisateur. Par exemple, un employé a de bien meilleures chances de se souvenir de « Renewable-Cardigan-Escapist » que de « su!8fhuw#u@FqwQ ».

2. Configurer l’authentification multifacteur (MFA)

Ajouter une étape supplémentaire au processus d’authentification ne rend pas le travail d’un attaquant impossible – mais cela le rend beaucoup plus difficile. Demander un facteur biométrique ou utiliser un authentificateur lié à un appareil de confiance ajoute une couche de sécurité supplémentaire sans introduire qu’une petite quantité de friction supplémentaire pour les employés.

C’est un compromis qui en vaut la peine car il réduit considérablement les dégâts qu’un acteur malveillant peut causer avec l’accès à un mot de passe compromis seul et donne du temps à l’organisation pour réagir et réinitialiser le mot de passe de l’employé vers quelque chose de nouveau et sécurisé. Consultez les directives NIST pour configurer la MFA ici.

3. Éviter les mots de passe compromis

Les deux tactiques ci-dessus peuvent durcir la sécurité des mots de passe au sein de votre entreprise, bien que certains mots de passe qui semblent forts au premier coup d’œil puissent déjà être compromis. Les cybercriminels achètent d’énormes listes de mots de passe violés, car ils connaissent la forte probabilité de réutilisation. Il est donc essentiel de s’assurer que les employés ne les utilisent pas en vérifiant contre une liste de mots de passe violés à jour.

Alors comment savoir quels employés persistent avec des mots de passe faibles, réutilisés ou compromis en premier lieu ? Dans le passé, il était difficile pour les entreprises de savoir si les employés utilisaient des mots de passe qui avaient été impliqués dans une violation – mais avec le bon outil, c’est simple. Effectuez un audit rapide de votre Active Directory gratuitement avec Specops Password Auditor.

Exemple d’une politique de mots de passe durcie

Nous allons parcourir un exemple rapide de durcissement de mot de passe pour un employé individuel. Commençons par le mot de passe d’un employé imaginaire qui respecte les paramètres de mots de passe par défaut d’Active Directory. Il savait qu’il ne fallait pas utiliser quelque chose de trop évident comme son nom, le nom de l’entreprise, etc., alors il a choisi « Florence », la ville où il s’est marié. La politique de mots de passe par défaut d’Active Directory a forcé l’employé à ajouter quelques caractères spéciaux, alors il s’est contenté de ce qui suit :

Fl*rence!

Malgré le respect des exigences par défaut d’Active Directory, c’est un mauvais mot de passe et il est vulnérable aux devinettes par ingénierie sociale. L’autre problème est que l’employé utilise ce mot de passe pour chaque connexion qu’il a – y compris ses applications et appareils personnels.

L’entreprise a décidé de se lancer dans le durcissement des mots de passe maintenant que les employés doivent avoir des phrases de passe de plus de 15 caractères et uniques pour chaque application. Pour encourager les utilisateurs à utiliser des phrases de passe plus longues, l’organisation peut imposer un vieillissement des mots de passe basé sur la longueur avec un outil de politique de mots de passe tiers. Cela signifie qu’un utilisateur qui choisit un mot de passe plus long peut attendre plus longtemps avant de devoir le réinitialiser. Voici un exemple d’une longue phrase de passe que l’employé trouve facile à retenir :

Bricklaying-laminated-apples

Ce n’est pas aussi mémorable que l’endroit où il s’est marié, mais comme mot de passe unique, ce n’est pas trop difficile à retenir. Pour le rendre encore plus fort, l’organisation peut ajouter une exigence pour quelques chiffres et caractères spéciaux :

Bric%laying-Lamina1ed-appl£s

Bien sûr, les organisations doivent également s’assurer qu’il ne figure pas déjà dans une liste de mots de passe violés en le recoupant avec un outil comme Specops Password Auditor. Une fois approuvé, l’employé reçoit l’instruction de configurer la MFA comme couche d’authentification supplémentaire et de compléter une amélioration solide en termes de durcissement des mots de passe.

Éliminer les mots de passe faibles de votre Active Directory

La sécurité des mots de passe est trop importante pour être laissée au hasard. Elle est également trop importante (et injuste) pour repousser entièrement cette responsabilité sur les employés. Avec les bons outils, vous pouvez éliminer entièrement les mots de passe faibles de votre organisation, améliorer l’expérience utilisateur et passer moins de temps sur les tickets de support et les réinitialisations manuelles.

Specops Password Policy peut rapidement et facilement déployer une politique de mots de passe sécurisée et conforme dans toute votre organisation, exactement comme celle de l’exemple que nous avons parcouru. Il s’intègre à votre Active Directory et donne à votre équipe informatique une visibilité complète plus le contrôle pour simplifier la gestion des politiques de mots de passe à grain fin, et cibler n’importe quel niveau GPO, groupe, utilisateur ou ordinateur avec des paramètres de dictionnaire et de phrase de passe.

De plus, la fonctionnalité de protection contre les mots de passe violés vérifie tous les mots de passe contre une base de données continuellement mise à jour de mots de passe violés et compromis.

Intéressé par un moyen sophistiqué mais simple d’automatiser le durcissement des mots de passe dans votre organisation ? Demandez votre essai gratuit de Specops Password Policy.