Directives NIST sur les mots de passe

Les directives du NIST sur les mots de passe sont des règles établies par l'Institut national des normes et de la technologie (NIST) pour renforcer les mots de passe. Depuis 2017, les normes de mot de passe du NIST ont été révisées presque chaque année, en tenant compte des avis des experts en piratage de mots de passe, des pratiques de mots de passe vulnérables, du comportement des pirates informatiques et des violations de mots de passe précédentes. Cela en fait la norme recommandée la plus influente pour la création de mots de passe. Un mot de passe conforme aux normes NIST est difficile à craquer mais simple à utiliser.

Quelles sont les dernières directives du NIST en matière de mots de passe ?

  • Création d'un nouveau mot de passe
  • Authentification du mot de passe
  • Stockage des mots de passe
  • La longueur du mot de passe est plus importante que sa complexité : Contrairement aux idées reçues, les mots de passe longs sont plus difficiles à décrypter que les mots de passe complexes en cas de vol. La longueur du mot de passe recommandée par le NIST est de huit caractères au minimum.
  • Réinitialisation périodique des mots de passe : Le NIST recommande de réinitialiser les mots de passe uniquement lorsqu'on soupçonne qu'un mot de passe a été compromis, afin que les utilisateurs ne créent pas des mots de passe identiques à leurs anciens mots de passe, ce qui pourrait se produire si l'on les invitait à changer régulièrement de mot de passe.
  • Vérifier les nouveaux mots de passe à l'aide de listes de mots de passe couramment utilisés et compromis : Tous les nouveaux mots de passe doivent être vérifiés pour s'assurer qu'il ne s'agit pas de mots de passe couramment utilisés, de mots du dictionnaire, de chiffres ou de lettres séquentiels, ou de mots de passe compromis.
  • Activer l'affichage du mot de passe lors de la saisie : En affichant le mot de passe aux utilisateurs pendant qu'ils le tapent, ils ont plus de chances de le taper correctement du premier coup, ce qui permet d'éviter les blocages de compte et les réinitialisations de mot de passe inutiles.
  • Autoriser le collage des mots de passe : Empêcher les utilisateurs de coller du texte dans le champ du mot de passe peut ralentir la création de comptes et la connexion, encourageant ainsi les utilisateurs à définir des mots de passe faibles.
  • Ne pas utiliser d'indices de mot de passe : Le NIST déconseille fortement l'utilisation d'indices de mots de passe ou de questions de sécurité pour aider les utilisateurs à se souvenir de leurs mots de passe, car ils peuvent inciter les cybercriminels à deviner les mots de passe.
  • Limiter le nombre de tentatives de mots de passe échoués avant le verrouillage du compte : En limitant le nombre de tentatives de mots de passe infructueuses, les attaques par force brute peuvent être freinées.
  • Utiliser l'authentification multifactorielle (MFA) : L'utilisation d'autres facteurs d'authentification que les mots de passe peut contrecarrer les attaques par hameçonnage en rendant le compte inaccessible même si le mot de passe a été compromis.
  • Sécuriser les bases de données : L'accès aux bases de données contenant les mots de passe des utilisateurs doit être limité au personnel essentiel afin de restreindre les activités des cybercriminels.
  • Salt and hash les mots de passe : Selon les normes du NIST, les mots de passe doivent être salés avec au moins 32 bits de données et hachés avec une fonction de dérivation de clé à sens unique (comme PBKDF2 ou Balloon).

Comment ADSelfService Plus aide à se conformer aux directives NIST et à la sécurité des mots de passe

ADSelfService Plus offre les fonctions Password Policy Enforcer, Access Policy et MFA pour aider votre organisation à répondre aux exigences du NIST en matière de mots de passe.

Password Policy Enforcer

Password Policy Enforcer vous permet d'appliquer une politique de mot de passe personnalisée qui s'intègre de manière transparente aux politiques de mot de passe AD intégrées, offrant un contrôle plus granulaire que ces dernières. Les politiques de mot de passe d'ADSelfService Plus peuvent être définies pour appliquer les exigences suivantes :

  • Limiter les caractères
  • Limiter les répétitions
  • Restriction des motifs
  • Limiter la longueur

Ces paramètres permettent notamment d'imposer le nombre de caractères spéciaux, numériques et Unicode. Vous pouvez également définir le type de caractère par lequel le mot de passe doit commencer.

1
 

Satisfaire aux exigences du NIST en matière de mots de passe en configurant l'inclusion de caractères alphanumériques dans les mots de passe.

Restrict characters

Satisfaire aux exigences du NIST en matière de mots de passe en configurant l'inclusion de caractères alphanumériques dans les mots de passe.

Ces paramètres permettent de limiter l'utilisation de caractères consécutifs provenant de noms d'utilisateur ou de mots de passe antérieurs. La répétition consécutive d'un même caractère peut également être limitée.

1
 

Empêcher les utilisateurs de réutiliser leurs anciens mots de passe lors de la création du mot de passe.

Restrict repetition

Empêcher les utilisateurs de réutiliser leurs anciens mots de passe lors de la création du mot de passe.

Les paramètres de cet onglet permettent de restreindre les mots, motifs et palindromes du dictionnaire personnalisé qui pourraient être couramment utilisés.

1
 

> Empêcher les utilisateurs d'utiliser des motifs courants, des mots du dictionnaire et des palindromes dans leurs mots de passe.

Restrict pattern

> Empêcher les utilisateurs d'utiliser des motifs courants, des mots du dictionnaire et des palindromes dans leurs mots de passe.

Ces règles vous permettent de définir un nombre minimum et maximum de caractères pour le mot de passe.

1
 

Configurez la longueur minimale et maximale du mot de passe pour satisfaire aux directives du NIST en matière de mot de passe.

Restrict length

Configurez la longueur minimale et maximale du mot de passe pour satisfaire aux directives du NIST en matière de mot de passe.

  1.  
  2.  
  3.  
  4.  

Politique d'accès

ADSelfService Plus vous permet de définir un nombre quelconque de politiques de libre-service dans un domaine donné. Ces règles peuvent être configurées comme indiqué ci-dessous afin que votre organisation respecte les directives NIST en matière de mots de passe.

  • Définir le nombre maximum de fois où les utilisateurs peuvent échouer à la vérification d'identité, après quoi ils sont automatiquement bloqués.
  • Restreindre le nombre de fois où les utilisateurs peuvent réinitialiser leur mot de passe en libre-service.
  • Autoriser ou empêcher le copier-coller dans les champs de mots de passe.
  • Appliquer les paramètres de l'historique des mots de passe AD lors de la réinitialisation des mots de passe afin de limiter la répétition des mots de passe.
  • Activer l'analyse de la force du mot de passe pour aider les utilisateurs à créer des mots de passe en affichant la force du mot de passe.
  • Fournir une vérification du code CAPTCHA pour les connexions des utilisateurs afin de renforcer la sécurité.
  • 1
     

    Activer l'analyse de la force du mot de passe pour aider les utilisateurs à créer leur mot de passe en affichant la force du mot de passe.

    2
     

    Appliquer les paramètres de l'historique des mots de passe AD lors de la réinitialisation des mots de passe afin de limiter la répétition des mots de passe.

    access-policy-rename-unlock

    Activer l'analyse de la force du mot de passe pour aider les utilisateurs à créer leur mot de passe en affichant la force du mot de passe.
    Appliquer les paramètres de l'historique des mots de passe AD lors de la réinitialisation des mots de passe afin de limiter la répétition des mots de passe.

  • 1
     

    Fournir une vérification du code CAPTCHA pour les connexions des utilisateurs afin de renforcer la sécurité.

    access-policy-general

    Fournir une vérification du code CAPTCHA pour les connexions des utilisateurs afin de renforcer la sécurité.

  • 1
     

    Définir le nombre maximum de fois où les utilisateurs peuvent échouer à la vérification d'identité, après quoi ils sont automatiquement bloqués.

    2
     

    Restreindre le nombre de fois où les utilisateurs peuvent réinitialiser leur mot de passe en libre-service.

    access-policy-block-user

    Définir le nombre maximum de fois où les utilisateurs peuvent échouer à la vérification d'identité, après quoi ils sont automatiquement bloqués.
    Restreindre le nombre de fois où les utilisateurs peuvent réinitialiser leur mot de passe en libre-service.

MFA

ADSelfService Plus offre un support MFA pour l'accès aux applications, qu'elles soient basées sur le cloud ou sur site, ainsi que pour les terminaux. Il vous aide à réduire les attaques de surface et protège votre entreprise en imposant un niveau plus élevé d'assurance de l'identité.

Raisons pour lesquelles votre organisation a besoin du support MFA d'ADSelfService Plus :

  • Authentifie les utilisateurs par des facteurs d'authentification supplémentaires en plus de leur nom d'utilisateur et de leur mot de passe par défaut.
  • Offre un choix d'environ 20 authentificateurs, dont la biométrie, Duo Security, TOTP, YubiKey et les cartes à puce.
  • Permet de configurer des flux de travail afin de personnaliser les authentifiants pour les utilisateurs de différents OU, domaines ou groupes.
  • Sécurise les tentatives de connexion locales et distantes sur les serveurs et les postes de travail.
  • S'attaque à toutes les cyberattaques basées sur les informations d'identification, y compris les attaques par force brute, par pulvérisation de mot de passe et par dictionnaire.
  • Aide votre organisation à se conformer aux normes NIST SP 800-63B,GDPR et HIPAA.
  • 1
     

    Sécurisez l'accès des utilisateurs à tous les terminaux de votre réseau, comme les VPN, les OWA et les RDP, à l'aide de MFA.

    mfa-configuration-02

    Sécurisez l'accès des utilisateurs à tous les terminaux de votre réseau, comme les VPN, les OWA et les RDP, à l'aide de MFA.

  • 1
     

    Choisissez le nombre et le type de méthodes MFA avec lesquelles vos utilisateurs doivent s'authentifier pour accéder aux ressources.

    mfa-configuration-03

    Choisissez le nombre et le type de méthodes MFA avec lesquelles vos utilisateurs doivent s'authentifier pour accéder aux ressources.

  • 1
     

    Choisissez parmi 20 authentificateurs différents pour vérifier l'identité de vos utilisateurs.

    1
     

    Configurez différents flux MFA pour différents groupes ou départements de votre organisation.

    mfa-configuration-01

    Choisissez parmi 20 authentificateurs différents pour vérifier l'identité de vos utilisateurs.
    Configurez différents flux MFA pour différents groupes ou départements de votre organisation.

Renforcez la cyberdéfense de votre entreprise avec ADSelfService Plus, une solution unique qui aide vos employés à adopter les meilleures pratiques en matière de mots de passe.

Outil de réinitialisation de mot de passe en libre-service pour Windows AD, G Suite, etc.

Obtenez votre essai gratuit  
Points forts

Libre-service de mot de passe

Libérez les utilisateurs d'Active Directory d'assister à de longs appels au service d'assistance en leur permettant d'effectuer en libre-service leurs tâches de réinitialisation de mot de passe/de déverrouillage de compte. Changement de mot de passe sans tracas pour les utilisateurs d'Active Directory avec la console ADSelfService Plus « Changer le mot de passe ».

Une identité avec authentification unique

Obtenez un accès transparent en un clic à plus de 100 applications cloud. Avec l'authentification unique d'entreprise, les utilisateurs peuvent accéder à toutes leurs applications cloud avec leurs informations d'identification Active Directory. Merci à ADSelfService Plus !

Notification d'expiration de mot de passe/compte

Informez les utilisateurs d'Active Directory de l'expiration imminente de leur mot de passe/compte en leur envoyant ces notifications d'expiration de mot de passe/compte.

Synchroniseur de mot de passe

Synchronisez automatiquement les modifications de mot de passe/compte utilisateur Windows Active Directory sur plusieurs systèmes, notamment Office 365, G Suite, IBM iSeries et plus encore.

Application de la politique de mot de passe

Garantissez des mots de passe utilisateur forts qui résistent à diverses menaces de piratage avec ADSelfService Plus en obligeant les utilisateurs d'Active Directory à adhérer à des mots de passe conformes via l'affichage des exigences de complexité des mots de passe.

Mise à jour automatique de l'annuaire et recherche d'entreprise

Portail qui permet aux utilisateurs d'Active Directory de mettre à jour leurs dernières informations et une fonction de recherche rapide pour rechercher des informations sur leurs pairs en utilisant des clés de recherche, comme le numéro de contact, de la personnalité recherchée.