Configurer l'authenticator par mot de passe

Cet authenticator vous permet d'imposer l'utilisation de mots de passe lorsque les utilisateurs se connectent à Okta ou à une application. Vous pouvez personnaliser les exigences de complexité, appliquer des règles de mot de passe à des groupes ou des individus, et définir des conditions de verrouillage. Les utilisateurs finaux peuvent réinitialiser les mots de passe qu'ils ont oubliés sans l'aide d'un support technique.

L'authenticator par mot de passe est actif par défaut pour les utilisateurs d'Okta. Pour utiliser l'authenticator par mot de passe, vous devez configurer une politique de mots de passe ainsi que les règles associées.

Cet authenticator est un facteur de connaissance et répond aux exigences de présence de l'utilisateur. Voir authentification multifacteur.

Recommandations pour des mots de passe sécurisés

Définissez des politiques de mot de passe comportant un verrouillage du mot de passe, un historique, une ancienneté minimale, une longueur minimale de huit caractères et interdisant les mots de passe courants. Voici un exemple de configuration :

  • Verrouillage du mot de passe au bout de 10 échecs
  • Historique des mots de passe minimal de 24
  • Ancienneté d'une heure au minimum
  • Longueur minimum de 12 caractères
  • Restreindre l'utilisation des mots de passe courants

Ces recommandations fournies par Okta sont un exemple de normes types pour les mots de passe. Elles sont tirées des bonnes pratiques en vigueur dans le secteur de la cybersécurité. Elles n'ont pas pour vocation de se substituer aux normes de cybersécurité reconnues à l'échelle mondiale, telles que ISO 27001, NIST (National Institute of Standards and Technology) ou PCI-DSS, par exemple. Votre département informatique devra peut-être ajuster ces paramètres afin de répondre à la norme que votre organisation a choisi de suivre en matière de cybersécurité.

Avant de commencer

  • Créez des groupes si vous souhaitez les utiliser dans une politique de mots de passe. Consultez Gérer les groupes.
  • Créez des zones réseau si vous souhaitez les utiliser dans une politique de mots de passe. Consultez Gérer les zones du réseau.

Ajouter une politique de mot de passe

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Dans l'onglet Configuration, cliquez sur ActionsModifier pour l'option Mot de passe.
  3. Cliquez sur Ajouter une nouvelle politique de mot de passe.

Options de configuration

  1. Définissez les conditions de votre politique de mots de passe :

    Champ

    Valeur

    Nom de la politique Saisissez un nom descriptif pour la politique.
    Description de la politique Saisissez une description de ce que fait cette politique, et à qui elle s'applique.
    Ajouter un groupeSaisissez les groupes d'utilisateurs auxquels cette politique s'applique.
    S'applique à Sélectionnez le fournisseur d'authentification.
    Longueur minimumImposez un nombre de caractères minimum aux mots de passe.

    La longueur minimale est de quatre caractères. La longueur maximale est de 30 caractères.

    Exigences de complexité Imposez divers types de caractères et autres attributs pour renforcer la complexité des mots de passe. Ces exigences s'appliquent aux utilisateurs provenant d'Okta, Active Directory (AD) et Lightweight Directory Access Protocol (LDAP). Utilisez les exigences en matière de mot de passe d'AD si certains de vos utilisateurs proviennent d'AD. Sélectionnez l'une des options suivantes pour définir vos exigences en matière de complexité des mots de passe :
    • Lettre minuscule : le mot de passe doit comporter au moins une lettre minuscule.
    • Lettre majuscule : le mot de passe doit comporter au moins une lettre majuscule.
    • Chiffre (0 à 9) : le mot de passe doit comporter au moins un chiffre compris entre zéro et neuf.
    • Symbole (ex. : !@#$%^&*) : le mot de passe doit comporter au moins un symbole.
    • Ne comporte aucune partie du nom d'utilisateur : le mot de passe ne peut pas inclure une partie du nom d'utilisateur.
    • Ne comporte pas le prénom : le mot de passe ne peut pas inclure le prénom de l'utilisateur.
    • Ne comporte pas le nom de famille : le mot de passe ne peut pas inclure le nom de famille de l'utilisateur.
    • X caractères répétitifs consécutifs maximum : permet de répéter un caractère ce nombre de fois au maximum. Saisissez le nombre de caractères répétés consécutifs que vous souhaitez autoriser.
    • Utiliser une déclaration OEL pour bloquer le contenu restreint : bloquez l'utilisation des mots personnalisés dans les mots de passe à l'aide du langage Okta Expression Language.
      • Un champ s'affiche lorsque vous sélectionnez cette option.
      • Saisissez une expression dans le champ. Vous pouvez placer chaque mot dans sa propre instruction, comme password.value.contains("BlockedWord1"). Pour plusieurs mots, utilisez l'opérateur OR entre chaque expression, comme password.value.contains("BlockedWord1") OR password.value.contains("BlockedWord2"). Consultez Okta Expression Language dans Okta Identity Engine.
      • Les utilisateurs reçoivent un message d'erreur s'ils essaient d'utiliser un mot personnalisé dans leur nouveau mot de passe.
    Vérification des mots de passe courantsEmpêchez les utilisateurs de choisir des mots de passe couramment utilisés tels que « Password » et « 11111111 ». Okta vérifie le choix du mot de passe de l'utilisateur par rapport à la liste d'un million de mots de passe couramment utilisés. Avec la correspondance sensible à la casse, cette liste couvre plus de 2,5 milliards de mots de passe courants.
    Ancienneté du mot de passeConfigurez la durée d'utilisation des mots de passe par les utilisateurs, la fréquence à laquelle ils peuvent les réutiliser et le moment où ils sont invités à les modifier.
    • Appliquer l'historique des mots de passe pour les N derniers : saisissez le nombre de mots de passe distincts qu'un utilisateur doit créer avant de pouvoir réutiliser un mot de passe précédent. Cela empêche les utilisateurs de réutiliser un mot de passe précédent pendant un certain temps. Vous pouvez configurer ce paramètre de 1 à 30 mots de passe.
    • L'ancienneté minimale du mot de passe est de N unités : saisissez l'intervalle de temps minimal requis entre deux modifications du mot de passe. Ce paramètre empêche les utilisateurs de contourner l'exigence relative à l'Application de l'historique des mots de passe pour les N derniers mots de passe. Vous pouvez configurer ce paramètre pour un maximum de 9 999 minutes.
    • Le mot de passe expire après N jours : saisissez le nombre de jours pendant lesquels un mot de passe reste valide avant de devoir être modifié. Lorsque le mot de passe d'un utilisateur expire, il doit le changer pour pouvoir se connecter à Okta. Vous pouvez configurer ce paramètre pour un maximum de 999 jours. Les utilisateurs ne reçoivent pas d'avertissement d'expiration si la valeur est inférieure à six jours.

      Pour les utilisateur provenant d'AD et de LDAP : le paramètre Le mot de passe expire après N jours ne s'affiche pas. La date d'expiration peut varier et est importée depuis AD et LDAP.

    • Inviter l'utilisateur N jours avant expiration du mot de passe : saisissez le nombre de jours avant l'expiration du mot de passe pendant lesquels les utilisateurs sont invités à changer leur mot de passe. Les utilisateurs peuvent changer leur mot de passe lorsqu'ils y sont invités, ou attendre la date d'expiration. Vous pouvez configurer ce paramètre pour un maximum de 999 jours. Les utilisateurs ne reçoivent pas d'avertissement d'expiration lorsque la valeur est inférieure à six jours.
    VerrouillageConfigurez les conditions de verrouillage :
    • Verrouiller utilisateur après N tentatives de connexion infructueuses : nombre de tentatives de saisie d'un mot de passe erroné avant que le compte soit verrouillé.
    • Le compte est automatiquement déverrouillé après N minutes : durée pendant laquelle le compte reste verrouillé.
    • Voir les échecs de verrouillage : Afficher les échecs de verrouillage dans l'Admin Console.
    • Envoyer l'e-mail de verrouillage à l'utilisateur : envoyez aux utilisateurs un e-mail d'échec de verrouillage lorsque leur compte est verrouillé.

    Consultez Bloquer les tentatives de mot de passe suspectes provenant d'appareils inconnus

    Pour éviter les verrouillages AD et LDAP, vérifiez que le nombre de tentatives infructueuses est inférieur à la limite de tentatives de connexion échouées configurée dans AD et LDAP.

    Les modifications apportées aux paramètres du mot de passe prendront effet la prochaine fois qu'un utilisateur réinitialisera son mot de passe et lorsque le mot de passe arrivera à expiration. Les nouveaux comptes utilisateur sont soumis à vos paramètres de mot de passe actuels lorsque vous créez le compte.

  2. Cliquez sur Créer une politique.
  3. Sélectionnez la politique dans la liste des politiques.
  4. Cliquez sur Ajouter une règle.

  5. Configurez les options suivantes :

    Champ

    Valeur
    Nom de la règle Nommez la règle.
    Exclure des utilisateurs Saisissez les noms des utilisateurs que vous souhaitez exclure.
    IF L'adresse IP de l'utilisateur est
    • N'importe où : appliquez la règle à tous les utilisateurs, que leur adresse IP figure ou non dans la liste des IP de la passerelle publique.
    • Dans la zone : appliquez la règle aux utilisateurs de toutes les zones réseau ou de zones spécifiques.
    • Pas dans la zone : appliquez la règle pour exclure les utilisateurs de toutes les zones ou de zones spécifiques.

    Consultez Zones réseau pour plus d'informations sur la liste des adresses IP de passerelle publique et les autres fonctionnalités des zones d'IP. Si vous spécifiez une zone, n'oubliez pas que les adresses IP sont dynamiques et que leur géolocalisation n'est pas garantie.

    THEN Les utilisateurs peuvent effectuer des actions en libre-service
    • Modification de mot de passe (depuis les paramètres du compte) : autorisez les utilisateurs à modifier leur mot de passe à l'aide de l'option de Réinitialiser le mot de passe en libre-service.
    • Réinitialisation du mot de passe : autorisez aux utilisateurs de réinitialiser le mot de passe en libre-service en cliquant sur le lien Mot de passe oublié ? sur le Sign-In Widget.
    • Déverrouiller le compte : autorisez les utilisateurs de déverrouiller leur compte en cliquant sur le lien Déverrouiller le compte ? sur le Sign-In Widget. Lorsque vous sélectionnez cette option, les comptes utilisateur Okta provenant de LDAP sont déverrouillés dans Okta mais restent verrouillés dans l'instance LDAP sur site. Si vous n'autorisez pas le déverrouillage en libre-service, consultez Réinitialiser un mot de passe utilisateur pour connaître les autres options.
    AND Les utilisateurs peuvent lancer la récupération avec
    • Notification Push Okta Verify : autorisez les utilisateurs à lancer la récupération avec les notifications Okta Verify push Consultez Configurer l'authenticator Okta Verify. Lorsque Okta Verify with Push est le seul authenticator, les utilisateurs reçoivent un challenge par nombre correspondant, que vous activiez ou non la Protection contre l'énumération des utilisateurs pour la récupération.
    • Téléphone (SMS/Appel vocal) : autorise les utilisateurs de lancer la récupération avec des messages texte ou des appels téléphoniques vocaux. Consultez Configuration de l'authenticator par téléphone.
    • E-mail : autorise les utilisateurs de lancer la récupération par un message e-mail contenant un code d'accès à usage unique ou un lien magique. Consultez Configurer l'authenticator par e-mail.
    • Google Authenticator : autorise les utilisateurs à lancer la récupération avec un code d'accès à usage unique depuis Google Authenticator. Consultez Google Authenticator.
    AND Une vérification supplémentaire est
    • Facultatif : n'exigez pas de vérification supplémentaire de la part des utilisateurs pendant la récupération.
    • Tout authenticator inscrit et utilisé pour la MFA/SSO : autorise les utilisateurs d'utiliser tout authenticator inscrit pour la récupération.
    • Question de sécurité uniquement : permettez uniquement aux utilisateurs d'utiliser une question de sécurité pour la récupération. Consultez Configurer l'authenticator Questions de sécurité.

    Les administrateurs peuvent déterminer si un challenge d'authentification doit être effectué avant que l'utilisateur ne saisisse son mot de passe. Dans une règle de politique de connexion à une application, configurez l'option AND L'utilisateur doit s'authentifier avec. Consultez Ajouter une règle de politique de connexion à l'application.

  6. Cliquez sur Créer une règle.

Ajouter l'authenticator par mot de passe à la politique d'enrôlement authenticator

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Cliquez sur l'onglet Inscription.
  3. Ajoutez l'authenticator à une politique d'inscription authenticator (nouvelle ou existante).

Modifier ou supprimer les politiques et les règles relatives aux mots de passe

Vous ne pouvez pas modifier ou supprimer l'authenticator par mot de passe, mais vous pouvez modifier ou supprimer les politiques qui lui sont associées.

Si vous modifiez ou supprimez une politique ou une règle de mot de passe, vous devrez peut-être mettre à jour toutes les politiques d'enrôlement, d'authentification et de session globales qui utilisent cet authenticator.

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Dans l'onglet Configuration, cliquez sur ActionsModifier pour l'option Mot de passe.
  3. Sélectionnez une politique dans la liste pour afficher ses options Modifier et Supprimer.
  4. Sélectionnez une règle dans la politique pour en afficher les options. Pour la modifier, cliquez sur l'icône en forme de crayon. Pour supprimer, cliquez sur X.

Expérience de l'utilisateur final

Les utilisateurs sont toujours invités à saisir un mot de passe, sauf si une règle de politique de connexion à l'application pour l'authentification sans mot de passe est activée.

Un utilisateur dont le compte est verrouillé peut y accéder à nouveau en cliquant sur Déverrouiller le compte dans le Sign-In Widget. Okta affiche les autres méthodes d'authentificationdont dispose l'utilisateur pour retrouver l'accès.

Pour réinitialiser le mot de passe, l'utilisateur clique sur la flèche située à côté de son nom en haut à droite du Okta End-User Dashboard. L'utilisateur sélectionne ensuite Paramètres. Dans la section Méthodes de sécurité, l'utilisateur clique sur Réinitialiser à côté de Mot de passe.

Dans AD, les utilisateurs Okta verrouillés peuvent utiliser le déverrouillage de compte en libre-service, mais seul un administrateur peut déverrouiller un compte LDAP verrouillé.

Rubriques connexes

Récupération de compte en libre-service

Authentification multifacteur