Activer les paramètres de mot de passe fort pour les politiques de mots de passe
Les politiques de mot de passe vous permettent de définir des politiques de connexion et des règles associées afin d'appliquer des paramètres de mot de passe pour vos utilisateurs finaux.
Recommandation de tâche HealthInsight
Activez des paramètres de mot de passe fort pour appliquer des politiques de mot de passe strictes permettant de définir des paramètres tels que le verrouillage du mot de passe, l'historique des mots de passe, l'ancienneté minimale et une longueur minimale de caractères.
| Recommandation d'Okta |
Définissez des politiques de mot de passe comportant un verrouillage du mot de passe, un historique, une ancienneté minimale, une longueur minimale de huit caractères et interdisant les mots de passe courants. Voici un exemple de configuration :
Ces recommandations fournies par Okta sont un exemple de normes types pour les mots de passe. Elles sont tirées des bonnes pratiques en vigueur dans le secteur de la cybersécurité. Elles n'ont pas pour vocation de se substituer aux normes de cybersécurité reconnues à l'échelle mondiale, telles que ISO 27001, NIST (National Institute of Standards and Technology) ou PCI-DSS, par exemple. Votre département informatique devra peut-être ajuster ces paramètres afin de répondre à la norme que votre organisation a choisi de suivre en matière de cybersécurité. |
| Impact sur la sécurité | Faible |
| Impact sur l'utilisateur final |
Modéré
Consultez Expérience de l'utilisateur final et impact. |
Paramètres recommandés
| Verrouiller | Spécifiez le nombre maximum d'échecs de connexion pour mot de passe invalide avant le verrouillage du compte utilisateur. Cela offre une protection contre les attaques par force brute. |
| Longueur minimum | Exigez une longueur d'au moins huit caractères. Les mots de passe plus longs offrent une plus grande protection contre les attaques par force brute. |
| Historique | Spécifiez le nombre de mots de passe différents que les utilisateurs doivent créer avant de pouvoir réutiliser un mot de passe. Cela empêche les utilisateurs de réutiliser un ancien mot de passe lorsqu'ils réinitialisent leur mot de passe. En cas de compromission nécessitant la réinitialisation du mot de passe, il est essentiel de s'assurer que les utilisateurs ne peuvent pas réutiliser des identifiants compromis. |
| Ancienneté du mot de passe | Spécifiez l'intervalle de temps minimal requis entre deux modifications du mot de passe. Ce paramètre permet de s'assurer que les utilisateurs respectent le critère concernant l'historique des mots de passe. |
| Vérification des mots de passe courants | Restreint l'utilisation des mots de passe courants. |
Expérience de l'utilisateur final et impact
Les informations suivantes fournissent des détails sur la façon dont les utilisateurs finaux sont affectés lorsque des paramètres de mot de passe sont configurés.
| Verrouillage |
Les utilisateurs ne pourront plus accéder à leurs comptes après plusieurs échecs de connexion.
Les administrateurs configurent les options de déverrouillage du compte dans les options de verrouillage des règles de politique de mots de passe. Si un administrateur n'active aucune des options de déverrouillage automatique ou de libre-service, les utilisateurs doivent demander à leur administrateur de déverrouiller leur compte. Lorsque vous configurez des politiques de verrouillage, tenez compte des habitudes de connexion des utilisateurs et des impératifs de sécurité pour déterminer le nombre de tentatives autorisées. Une politique de verrouillage n'autorisant qu'un petit nombre de tentatives risque de provoquer un plus grand nombre d'incidents de verrouillage. Par exemple, les utilisateurs sont susceptibles de faire des erreurs de frappe lorsqu'ils se connectent à partir d'un appareil mobile ou lorsqu'ils ont récemment changé de mot de passe. Certaines applications insèrent automatiquement les mots de passe mis en cache même lorsqu'ils ont été modifiés, ce qui entraîne des verrouillages de compte. Cependant, une politique de verrouillage autorisant un trop grand nombre de tentatives augmente le risque d'attaque de mot de passe. |
| Longueur minimum |
Les mots de passe plus longs sont plus difficiles à retenir pour les utilisateurs, en particulier lorsqu'ils sont associés à d'autres exigences de complexité (par ex. : majuscules, minuscules, symboles, etc.).
L'Institut national des normes et des technologies (National Institute of Standards and Technology, NIST) recommande des mots de passe plus longs, faciles à retenir (de type phrase ou expression), mais plus difficiles à hacker via une attaque par force brute. |
| Historique | Appliquer un historique des mots de passe oblige les utilisateurs à utiliser un nouveau mot de passe au moment de réinitialiser leur mot de passe. Cela peut entraîner un nombre plus élevé de verrouillages ou de réinitialisations du mot de passe pour mot de passe oublié. |
| Ancienneté du mot de passe |
Empêchez les utilisateurs de réinitialiser leur mot de passe avant que celui-ci n'atteigne l'ancienneté minimum définie, et immédiatement après une précédente réinitialisation de mot de passe. Par exemple, vous pouvez configurer une ancienneté plus courte avec un historique plus long afin d'empêcher la réutilisation de mots de passe. |
| Vérification des mots de passe courants | Si un utilisateur qui souhaite définir un mot de passe qui correspond à l'un des mots de passe inclus dans la liste des mots de passe couramment utilisés, il ne pourra pas utiliser ce mot de passe. |
Configurer les paramètres de mot de passe pour les politiques de mots de passe
- Dans le menu de la Admin Console, rendez-vous à .
- Depuis l'onglet Mot de passe, passez en revue chaque politique. Pour modifier la politique, cliquez sur Modifier.
- Modifiez les paramètres de mot de passe de la politique conformément aux recommandations.
- Pour activer chaque paramètre, cochez les cases à côté d'Historique des mots de passe, Ancienneté du mot de passe, Verrouiller et Vérification des mots de passe courants.