Partager cet article

RSS
BOURSE

 Tous nos articles

Dossier
 
07/05/2007

Bien gérer sa politique de mots de passe

Brique de sécurité incontournable, le choix d'un mot de passe fort est impératif. Nombre et catégories de caractères, durée de vie maximale et minimale, historisation, entrent notamment dans sa gestion.
  Envoyer Imprimer  

 
En savoir plus
 
 
 

Première étape pour l'accès à un réseau ou une application, qui tous deux renferment souvent des données sensibles, l'authentification passe encore majoritairement par l'utilisation du couple identifiant - mot de passe. En dépit de la nécessité de porter une attention particulière au choix d'un mot de passe répondant à des exigences de robustesse, celui-ci demeure trop fréquemment un point faible.

La faute n'en revient cependant pas uniquement au seul utilisateur. C'est en effet un tort partagé avec l'entreprise en raison notamment de la multiplication des services et applications dont l'accès requiert un mot de passe. Cette faiblesse provient aussi de lacunes dans les politiques de sécurité dans ce domaine. Une stratégie efficace impose en effet le respect de certaines bonnes pratiques, appliquées grâce à la sensibilisation des utilisateurs et à la mise en place de procédures de contrôle a priori.

Concevoir un mot de passe fort

Pour résister aux attaques par force brute, dictionnaire ou compromis temps/mémoire qui pourraient le viser, le mot de passe doit remplir certaines conditions : "Dans les bons choix, de manière générique, on considère qu'un mot de passe doit être d'une longueur minimale de 8 caractères. Il doit comprendre des caractères d'au moins 3 catégories différentes : chiffres, lettres, caractères spéciaux - %, #, :, $, * - et majuscules minuscules", liste Thomas Gayet, responsable veille sécurité pour le cabinet Lexsi.

Par conséquent, tous les mots susceptibles d'être devinés ou de figurer dans un dictionnaire, même s'ils relèvent d'un jargon technique spécifique ne doivent pas être employés. En appliquant ces recommandations, un mot de passe pourra ainsi prendre la forme suivante : Cn5*,Trb2. A première vue, un véritable casse-tête pour parvenir à le mémoriser sans être tenté de l'écrire sur un post-it glissé sous le clavier, un tiroir, voire même collé sur l'écran.

 

"On peut par exemple créer une phrase et prendre le premier caractère de chaque mot la composant"
(T.Gayet - Lexsi)

Combiner complexité et mémorisation

Pour s'assurer de pouvoir mémoriser son mot de passe, plusieurs astuces mnémotechniques existent. "On peut par exemple créer une phrase et prendre le premier caractère de chaque mot la composant pour définir le mot de passe. Mon collègue a un très bon bureau, pourra ainsi donner Mc@1tbb. Grâce à cette méthode, en partant d'une simple phrase, vous obtenez un mot de passe robuste", indique Thomas Gayet.

La méthode phonétique peut également être employée. C'est alors les sons de chaque syllabe d'une phrase qui constitueront le sésame. Exemple donné par le CERTA à la Direction centrale de la sécurité des systèmes d'information : "J'ai acheté huit CD pour cent euros cet après midi". La phrase donne ainsi "ght8CD%E7am".

 

Un doute sur la capacité de mémorisation ?

Si mémoriser un unique mot de passe parait concevable, leur multiplication en entreprise ouvre souvent des brèches. Les utilisateurs sont en effet souvent tentés de répliquer le même quel que soit l'accès, ou d'opter pour des facilités comme l'enregistrement automatique dans une application comme le navigateur Web. Un simple vol de session suffirait pourtant à subtiliser les identifiants de connexion.

La conservation des mots de passe peut toutefois, pour parer aux oublis et ne pas bloquer le travail d'un utilisateur, se faire au sein d'un coffre fort électronique où sera stockée l'intégralité des mots de passe utilisés dans l'entreprise, et protégé par un mot de passe master fort. Pour certains profils d'utilisateur, comme les administrateurs réseau, on peut décider de substituer un procédé d'authentification forte au couple habituel. Exemple : un certificat accompagné d'un mot de passe, c'est-à-dire la combinaison de 2 éléments, ce que l'on possède et ce que l'on sait.

 

"Toute solution d'authentification forte est à préférer lorsque les conditions le permettent et le justifient"
(T.Gayet - Lexsi)

Une stratégie claire dans la politique de sécurité

Une politique efficace passe par le fait de proposer des changements réguliers (variables selon la criticité), tout en bloquant la possibilité d'utiliser des mots de passe déjà employés par le passé. Cette configuration peut être paramétrée directement au niveau du système d'exploitation.

Dans un souci de souplesse, les stratégies peuvent être appliquées à des profils d'utilisateur. On pourra ainsi exiger d'un administrateur, d'un directeur général ou d'une personne ayant des privilèges élevés, qu'il définisse obligatoirement un mot de passe respectant des critères stricts.

 

Sensibiliser les utilisateurs sur leurs responsabilités

Un audit de la politique de mot de passe peut représenter la première étape d'une campagne de sensibilisation. Celle-ci aura pour but de démontrer l'importance de faire preuve de rigueur. "On pourra dans le cadre de la sensibilisation procéder à du cracking de mot de passe en temps réel pour faire la démonstration de la rapidité du procédé lorsque les consignes ne sont pas appliquées", déclare Thomas Gayet.

Un compte utilisateur représente en principe une identité. En cas de fraude par l'intermédiaire du système d'information, l'enquête pourra permettre de remonter jusqu'au compte concerné. De plus la charte d'utilisation spécifie aux salariés des obligations, et la protection insuffisante de son poste, en violation de la charte, pourrait être considérée comme une faute.

 

S'appuyer sur d'autres méthodes d'authentification

"Toute solution d'authentification forte est à préférer lorsque les conditions ou les moyens de l'entreprise le permettent et le justifient. Pour s'authentifier, on pourra faire appel à 3 éléments : ce que l'on est - biométrie -, ce que l'on possède - une carte - et ce que l'on connait - le code PIN -. Dès lors que vous combinez deux de ces éléments, vous être dans un mode d'authentification forte", définit l'expert de Lexsi.

 

 
En savoir plus
 
 
 

Idéalement, les entreprises peuvent mettre en place un projet SSO (Single Sign-On) afin qu'un unique login mot de passe donne accès à l'ensemble des applications. L'utilisateur n'a plus alors qu'à en mémoriser un seul et est a priori moins tenté de le noter ou de le simplifier.

 


JDN Solutions Envoyer Imprimer Haut de page
A VOIR EGALEMENT

Sondage

Quelle est votre suite bureautique en mode SaaS favorite ?

Tous les sondages