Composition et cryptage des mots de passe

de stocker les mots de passe OS/400 encore plus sûrement. Ces fonctions préservent aussi l’avenir – certaines plates-formes, comme Windows 2000, commencent à  mettre en oeuvre des règles de composition de mots de passe similaires.

   Il faut bien comprendre que les méthodes actuelles de protection de mots de passe sont encore relativement sûres pour des systèmes bien gérés. Il est difficile d’accéder directement à  la version cryptée d’un mot de passe sous OS/400, à  moins d’être l’administrateur système. Mais, l’OS/400 fournit des interfaces permettant à  un administrateur de confiance (trusted) d’extraire et de définir le mot de passe crypté. En cette époque de PC peu coûteux et très puissants, un administrateur indélicat pourrait fort bien utiliser une interface autorisée pour extraire des données cryptées puis les attaquer en force, à  partir d’un système différent. Mais si les administrateurs système ne sont pas dignes de confiance ou si le système n’est pas géré de façon sûre, le problème va bien au-delà  d’une simple protection des mots de passe.

   Les fonctions de mots de passe disponibles sont contrôlées par QPWDLVL dont les valeurs peuvent aller de 0 à  3. (Pour modifier le niveau de mot de passe, il faut disposer d’un IPL.)

   Une valeur de 0 laisse le support des mots de passe d’avant la V5R1. C’est la valeur par défaut qui fournit une compatibilité de 100 % avec tout ce que l’on utilise actuellement. Le mot de passe sera crypté avec l’algorithme OS/400 existant et avec un algorithme Microsoft NT, exactement comme aujourd’hui.

   Une valeur de 1 supprime le mot de passe crypté avec l’algorithme de cryptage de Microsoft NT. Les mots de passe cryptés avec cet algorithme laissent les utilitaires comme Network Neighborhood travailler sous OS/400 sans demander continuellement aux utilisateurs leur profil et mot de passe utilisateur de l’iSeries. En cas de vol, cette version cryptée d’un mot de passe peut rapidement céder face à  une attaque en force, mais si l’on veut une compatibilité directe avec les systèmes d’exploitation Microsoft sur un réseau, il faut accepter ce risque.

   Une valeur de 2 permet d’accéder à  une méthode de cryptage nouvelle et plus puissante qui accepte des mots de passe plus longs utilisant davantage de caractères et qui permet de maintenir les mots de passe cryptés avec des algorithmes pré-V5R1. Cette option permet de tester la compatibilité des logiciels iSeries et non-iSeries existants avec l’algorithme de cryptage de mots de passe plus avancé (et les règles de composition de mots de passe) tout en maintenant la possibilité de revenir facilement à  l’algorithme de cryptage courant. On obtient cela en cryptant tous les mots de passe entrés à  l’aide du nouvel algorithme, ainsi que les deux algorithmes courants, et en stockant toutes les versions du mot de passe crypté.

   Outre l’utilisation d’un nouvel algorithme, la valeur 2 supporte des mots de passe contenant des lettres majuscules et minuscules, des blancs imbriqués, n’importe quel CCSID (Coded Character Set Identifier), et jusqu’à  128 caractères.

   Beaucoup pensent que le nouvel algorithme de cryptage offre la protection supplémentaire des mots de passe cryptés par l’OS/400 aux niveaux 2 et 3. Ce n’est pas vraiment exact – c’est le grand nombre de mots de passe supplémentaires possibles dus aux CCSID multiples et à  l’utilisation des majuscules et minuscules et des blancs imbriqués, qui fournit en réalité la sécurité supplémentaire. Toutes ces fonctions augmentent nettement le nombre de mots de passe possibles. Le fait d’augmenter ce nombre n’empêche pas des attaques en force, mais il augmente le temps nécessaire pour qu’elles réussissent. L’objectif est de faire que le temps maximum de réussite d’une attaque en force soit de l’ordre des décennies ou …des siècles, avec la technologie actuelle. Ainsi, si l’on change de mot de passe tous les 180 jours, une attaque en force n’aura que très peu de chances d’aboutir à  temps pour fournir des informations utiles à  l’assaillant. Le nouvel algorithme, bien qu’un peu meilleur que l’existant, fonctionne bien mieux avec les nouvelles règles de composition. Le fait de changer l’algorithme n’offre pas de possibilités supplémentaires au-delà  de celles qui sont causées par les nouvelles règles de composition. C’est pourquoi IBM les a mises en oeuvre toutes les deux en même temps. Au niveau 2, peu importe le niveau de sécurité de l’une des versions du mot de passe crypté, parce que le même mot de passe est stocké crypté avec d’autres algorithmes plus faibles. La puissance d’un mot de passe ne peut pas excéder celle de l’algorithme le plus faible avec lequel il est crypté. Rappelons-nous quand même que quelqu’un doit d’abord être capable d’accéder au mot de passe crypté sous sa forme la plus faible, avant qu’il ne devienne vulnérable.

   Soulignons que si l’on choisit cette option et si on laisse les utilisateurs créer des mots de passe plus longs ou utiliser des caractères précédemment indisponibles, le retour aux algorithmes courants obligera ces utilisateurs à  changer leurs mots de passe. La V5R1 améliore la commande PRTUSRPRF TYPE(*PWDLVL) (Print User Profiles) pour montrer si un profil utilisateur devra changer son mot de passe avant de passer à  un niveau de mot de passe précédent.

   La valeur 2 permet aussi de tester la compatibilité du support de mot de passe le plus haut avec d’autres plates-formes et programmes non licenciés par IBM, tout en permettant de revenir relativement aisément à  un niveau de mot de passe précédent si l’on trouve des incompatibilités. Dès que vous savez que l’algorithme de cryptage de la V5R1 est compatible avec tous vos systèmes et logiciels, vous pouvez passer à  l’option suivante. En cas de problèmes, vous pourrez revenir facilement à  un niveau précédent.

   Sachez que la valeur 2 n’offre aucune protection contre des attaques en force décrites précédemment. Elle permet simplement de vérifier que vous pouvez passer au niveau de sécurité de mot de passe le plus haut, la valeur 3, sans perturber le fonctionnement du système.

   La valeur 3 modifie le système afin qu’il n’utilise que le nouvel algorithme de cryptage OS/400 et supprime tous les mots de passe cryptés avec les méthodes pré-V5R1. A ce niveau, la barre de la puissance des mots de passe a été placée très haut. Il faut donc s’assurer que tous vos systèmes et logiciels sont compatibles avec cette option. S’ils ne le sont pas, vous pourrez toujours revenir aux niveaux précédents – mais tous les utilisateurs qui se sont enregistrés (signed on) depuis que QPWDLVL a été modifié, devront redonner à  leurs mots de passe une valeur compatible avec le niveau de mot de passe sélectionné.

   IBM espère que le passage aux niveaux de mots de passe supérieurs sur la plupart des sites iSeries se fera graduellement et sur plusieurs releases OS/400. Cependant, il faut prendre en compte des points très importants lorsqu’on se demande quel niveau de mot de passe utiliser. Consulter le manuel Security Reference (SC41-5302-05) pour trouver la release appropriée avant de prendre une décision.