> Tech > Etape 4. Vaincre les perceurs de mots de passe avec quatre pratiques

Etape 4. Vaincre les perceurs de mots de passe avec quatre pratiques

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Quatre pratiques de sécurité des postes de travail permettent de contrer la plupart des programmes de cracking de mots de passe. Prenez l’habitude de désactiver le stockage hash LM, de désactiver les protocoles LM et NTLMv1, de demander des mots de passe puissants, et d’activer les verrouillages de comptes.

Etape 4. Vaincre les perceurs de mots de passe avec quatre pratiques

/> Désactiver le hashing LM. Les hashes (totaux de contrôle) de mots de passe LM sont très faciles à percer par la force brutale. Malheureusement, tous les systèmes Windows stockent le hash de mot de passe LM, très faible, bien qu’il en existe de bien plus forts. Il est bon d’utiliser un GPO ou regedit pour désactiver le hashing de mots de passe LM. Windows continuera à stocker et à utiliser le hash de mots de passe NTLM bien plus puissant. Par cette seule tactique, vous résisterez à la plupart des perceurs de mots de passe et aux machines distantes essayant de s’approprier par la force des références plus faibles.

Demander NTLM version 2 et au-dessus. Tous les systèmes Windows, Win2K et produits ultérieurs utilisent Kerberos pour l’authentification de domaines par défaut. De tels systèmes doivent aussi utiliser au moins un protocole d’authentification non Kerberos (comme LM, NTLM ou NTLMv2) pour des logins non-domaine et autres tâches. Après un test approfondi pour vérifier que les applications et systèmes hérités (et même certaines applications plus récentes) n’en souffriront pas, désactivez l’utilisation des protocoles LM et NTLM. Si les mots de passe sont suffisamment complexes, aucun programme de percement ne peut franchir l’authentification NTLMv2.

Appliquer une politique de mots de passe stricte. Un mot de passe faible peut réduire à néant les meilleures intentions. Exigez de vos utilisateurs un mot de passe complexe de 15 caractères au moins et faites-le expirer tous les 90 jours ou moins. Vous pouvez valider ces trois options en utilisant des GPO ou en modifiant le registre.

Appliquer des verrouillages (lockouts) de comptes. Configurez les verrouillages de comptes de manière à évincer tous les comptes principaux de sécurité après trois tentatives de mots de passe infructueuses consécutives. Au lieu de demander à un administrateur de déverrouiller un compte verrouillé, permettez-lui de se réinitialiser automatiquement en une minute. La simple validation des verrouillages de comptes, quelle que soit la durée du verrouillage, vaincra les programmes de percement de mots de passe par force brutale en ligne.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010