Directives NIST sur les mots de passe
Les directives du NIST sur les mots de passe sont des règles établies par l'Institut national des normes et de la technologie (NIST) pour renforcer les mots de passe. Depuis 2017, les normes de mot de passe du NIST ont été révisées presque chaque année, en tenant compte des avis des experts en piratage de mots de passe, des pratiques de mots de passe vulnérables, du comportement des pirates informatiques et des violations de mots de passe précédentes. Cela en fait la norme recommandée la plus influente pour la création de mots de passe. Un mot de passe conforme aux normes NIST est difficile à craquer mais simple à utiliser.
Quelles sont les dernières directives du NIST en matière de mots de passe ?
- Création d'un nouveau mot de passe
- Authentification du mot de passe
- Stockage des mots de passe
- La longueur du mot de passe est plus importante que sa complexité : Contrairement aux idées reçues, les mots de passe longs sont plus difficiles à décrypter que les mots de passe complexes en cas de vol. La longueur du mot de passe recommandée par le NIST est de huit caractères au minimum.
- Réinitialisation périodique des mots de passe : Le NIST recommande de réinitialiser les mots de passe uniquement lorsqu'on soupçonne qu'un mot de passe a été compromis, afin que les utilisateurs ne créent pas des mots de passe identiques à leurs anciens mots de passe, ce qui pourrait se produire si l'on les invitait à changer régulièrement de mot de passe.
- Vérifier les nouveaux mots de passe à l'aide de listes de mots de passe couramment utilisés et compromis : Tous les nouveaux mots de passe doivent être vérifiés pour s'assurer qu'il ne s'agit pas de mots de passe couramment utilisés, de mots du dictionnaire, de chiffres ou de lettres séquentiels, ou de mots de passe compromis.
- Activer l'affichage du mot de passe lors de la saisie : En affichant le mot de passe aux utilisateurs pendant qu'ils le tapent, ils ont plus de chances de le taper correctement du premier coup, ce qui permet d'éviter les blocages de compte et les réinitialisations de mot de passe inutiles.
- Autoriser le collage des mots de passe : Empêcher les utilisateurs de coller du texte dans le champ du mot de passe peut ralentir la création de comptes et la connexion, encourageant ainsi les utilisateurs à définir des mots de passe faibles.
- Ne pas utiliser d'indices de mot de passe : Le NIST déconseille fortement l'utilisation d'indices de mots de passe ou de questions de sécurité pour aider les utilisateurs à se souvenir de leurs mots de passe, car ils peuvent inciter les cybercriminels à deviner les mots de passe.
- Limiter le nombre de tentatives de mots de passe échoués avant le verrouillage du compte : En limitant le nombre de tentatives de mots de passe infructueuses, les attaques par force brute peuvent être freinées.
- Utiliser l'authentification multifactorielle (MFA) : L'utilisation d'autres facteurs d'authentification que les mots de passe peut contrecarrer les attaques par hameçonnage en rendant le compte inaccessible même si le mot de passe a été compromis.
- Sécuriser les bases de données : L'accès aux bases de données contenant les mots de passe des utilisateurs doit être limité au personnel essentiel afin de restreindre les activités des cybercriminels.
- Salt and hash les mots de passe : Selon les normes du NIST, les mots de passe doivent être salés avec au moins 32 bits de données et hachés avec une fonction de dérivation de clé à sens unique (comme PBKDF2 ou Balloon).
Comment ADSelfService Plus aide à se conformer aux directives NIST et à la sécurité des mots de passe
ADSelfService Plus offre les fonctions Password Policy Enforcer, Access Policy et MFA pour aider votre organisation à répondre aux exigences du NIST en matière de mots de passe.
Password Policy Enforcer
Password Policy Enforcer vous permet d'appliquer une politique de mot de passe personnalisée qui s'intègre de manière transparente aux politiques de mot de passe AD intégrées, offrant un contrôle plus granulaire que ces dernières. Les politiques de mot de passe d'ADSelfService Plus peuvent être définies pour appliquer les exigences suivantes :
- Limiter les caractères
- Limiter les répétitions
- Restriction des motifs
- Limiter la longueur
Ces paramètres permettent notamment d'imposer le nombre de caractères spéciaux, numériques et Unicode. Vous pouvez également définir le type de caractère par lequel le mot de passe doit commencer.
Satisfaire aux exigences du NIST en matière de mots de passe en configurant l'inclusion de caractères alphanumériques dans les mots de passe.
Satisfaire aux exigences du NIST en matière de mots de passe en configurant l'inclusion de caractères alphanumériques dans les mots de passe.
Ces paramètres permettent de limiter l'utilisation de caractères consécutifs provenant de noms d'utilisateur ou de mots de passe antérieurs. La répétition consécutive d'un même caractère peut également être limitée.
Empêcher les utilisateurs de réutiliser leurs anciens mots de passe lors de la création du mot de passe.
Empêcher les utilisateurs de réutiliser leurs anciens mots de passe lors de la création du mot de passe.
Les paramètres de cet onglet permettent de restreindre les mots, motifs et palindromes du dictionnaire personnalisé qui pourraient être couramment utilisés.
> Empêcher les utilisateurs d'utiliser des motifs courants, des mots du dictionnaire et des palindromes dans leurs mots de passe.
> Empêcher les utilisateurs d'utiliser des motifs courants, des mots du dictionnaire et des palindromes dans leurs mots de passe.
Ces règles vous permettent de définir un nombre minimum et maximum de caractères pour le mot de passe.
Configurez la longueur minimale et maximale du mot de passe pour satisfaire aux directives du NIST en matière de mot de passe.
Configurez la longueur minimale et maximale du mot de passe pour satisfaire aux directives du NIST en matière de mot de passe.
Politique d'accès
ADSelfService Plus vous permet de définir un nombre quelconque de politiques de libre-service dans un domaine donné. Ces règles peuvent être configurées comme indiqué ci-dessous afin que votre organisation respecte les directives NIST en matière de mots de passe.
- Définir le nombre maximum de fois où les utilisateurs peuvent échouer à la vérification d'identité, après quoi ils sont automatiquement bloqués.
- Restreindre le nombre de fois où les utilisateurs peuvent réinitialiser leur mot de passe en libre-service.
- Autoriser ou empêcher le copier-coller dans les champs de mots de passe.
- Appliquer les paramètres de l'historique des mots de passe AD lors de la réinitialisation des mots de passe afin de limiter la répétition des mots de passe.
- Activer l'analyse de la force du mot de passe pour aider les utilisateurs à créer des mots de passe en affichant la force du mot de passe.
- Fournir une vérification du code CAPTCHA pour les connexions des utilisateurs afin de renforcer la sécurité.
- 1
Activer l'analyse de la force du mot de passe pour aider les utilisateurs à créer leur mot de passe en affichant la force du mot de passe.
2Appliquer les paramètres de l'historique des mots de passe AD lors de la réinitialisation des mots de passe afin de limiter la répétition des mots de passe.
Activer l'analyse de la force du mot de passe pour aider les utilisateurs à créer leur mot de passe en affichant la force du mot de passe.
Appliquer les paramètres de l'historique des mots de passe AD lors de la réinitialisation des mots de passe afin de limiter la répétition des mots de passe. - 1
Fournir une vérification du code CAPTCHA pour les connexions des utilisateurs afin de renforcer la sécurité.
Fournir une vérification du code CAPTCHA pour les connexions des utilisateurs afin de renforcer la sécurité.
- 1
Définir le nombre maximum de fois où les utilisateurs peuvent échouer à la vérification d'identité, après quoi ils sont automatiquement bloqués.
2Restreindre le nombre de fois où les utilisateurs peuvent réinitialiser leur mot de passe en libre-service.
Définir le nombre maximum de fois où les utilisateurs peuvent échouer à la vérification d'identité, après quoi ils sont automatiquement bloqués.
Restreindre le nombre de fois où les utilisateurs peuvent réinitialiser leur mot de passe en libre-service.
MFA
ADSelfService Plus offre un support MFA pour l'accès aux applications, qu'elles soient basées sur le cloud ou sur site, ainsi que pour les terminaux. Il vous aide à réduire les attaques de surface et protège votre entreprise en imposant un niveau plus élevé d'assurance de l'identité.
Raisons pour lesquelles votre organisation a besoin du support MFA d'ADSelfService Plus :
- Authentifie les utilisateurs par des facteurs d'authentification supplémentaires en plus de leur nom d'utilisateur et de leur mot de passe par défaut.
- Offre un choix d'environ 20 authentificateurs, dont la biométrie, Duo Security, TOTP, YubiKey et les cartes à puce.
- Permet de configurer des flux de travail afin de personnaliser les authentifiants pour les utilisateurs de différents OU, domaines ou groupes.
- Sécurise les tentatives de connexion locales et distantes sur les serveurs et les postes de travail.
- S'attaque à toutes les cyberattaques basées sur les informations d'identification, y compris les attaques par force brute, par pulvérisation de mot de passe et par dictionnaire.
- Aide votre organisation à se conformer aux normes NIST SP 800-63B,GDPR et HIPAA.
- 1
Sécurisez l'accès des utilisateurs à tous les terminaux de votre réseau, comme les VPN, les OWA et les RDP, à l'aide de MFA.
Sécurisez l'accès des utilisateurs à tous les terminaux de votre réseau, comme les VPN, les OWA et les RDP, à l'aide de MFA.
- 1
Choisissez le nombre et le type de méthodes MFA avec lesquelles vos utilisateurs doivent s'authentifier pour accéder aux ressources.
Choisissez le nombre et le type de méthodes MFA avec lesquelles vos utilisateurs doivent s'authentifier pour accéder aux ressources.
- 1
Choisissez parmi 20 authentificateurs différents pour vérifier l'identité de vos utilisateurs.
1Configurez différents flux MFA pour différents groupes ou départements de votre organisation.
Choisissez parmi 20 authentificateurs différents pour vérifier l'identité de vos utilisateurs.
Configurez différents flux MFA pour différents groupes ou départements de votre organisation.
Renforcez la cyberdéfense de votre entreprise avec ADSelfService Plus, une solution unique qui aide vos employés à adopter les meilleures pratiques en matière de mots de passe.
Outil de réinitialisation de mot de passe en libre-service pour Windows AD, G Suite, etc.
Obtenez votre essai gratuitLes points forts de ADSelfService Plus
Mot de passe en libre-service
Éliminez les longs appels au service d’assistance pour les utilisateurs de Windows Active Directory en leur permettant de réinitialiser leur mot de passe et de déverrouiller leur compte en libre-service.
Une identité unique grâce à l'authentification unique
Accédez en un clic à plus de 100 applications cloud. Grâce à l'authentification unique d’entreprise, les utilisateurs peuvent accéder à toutes leurs applications cloud avec leurs identifiants Windows Active Directory.
Synchronisation des mots de passe
Synchronisez automatiquement les mots de passe et les modifications de comptes des utilisateurs Windows Active Directory sur plusieurs systèmes, tels que Microsoft 365, Google Workspace, IBM iSeries, etc.
MFA
Activez l’authentification multifacteur (MFA) contextuelle avec 20 méthodes d’authentification différentes pour les connexions aux terminaux, aux applications, aux VPN, à OWA et à RDP.
Notifications d'expiration de mot de passe et de compte
Informez les utilisateurs Windows Active Directory de l’expiration prochaine de leur mot de passe ou de leur compte par e-mail et SMS.
Application de la politique de mots de passe
Les mots de passe robustes résistent à diverses menaces de piratage. Obligez les utilisateurs Windows Active Directory à utiliser des mots de passe conformes en affichant les exigences de complexité.