> Tech > Exposition No 3 : Mots de passe triviaux

Exposition No 3 : Mots de passe triviaux

Tech - Par iTPro - Publié le 24 juin 2010
email

Quand un nouveau profil utilisateur de l'iSeries est créé, la commande CRTUSR PRF (Create User Profile) crée par défaut le même mot de passe que le profil utilisateur. Trop souvent, l'officier de sécurité ne définit pas l'expiration du mot de passe utilisateur de manière à  obliger les utilisateurs à 

Exposition No 3 : Mots de passe triviaux

changer leurs mots de passe la première fois qu’ils se connectent. Même quand l’expiration d’un mot de passe est prévue, les utilisateurs qui demandent un mot de passe négligent souvent de se connecter tout de suite et donc, leurs mots de passe et profils utilisateurs restent les mêmes.

Fournir un mot de passe identique à  son nom de profil utilisateur est une méthode courante d’accès de la part d’un pirate. Je me suis pour ma part connecté à  des systèmes de banques et d’autres organismes financiers en utilisant des mots de passe triviaux pour les profils utilisateurs livrés par IBM, et même des profils utilisateurs créés par l’installation comme TEST, PCUSER, FTP et USER1. Souvent, des programmes applicatifs tierce partie sont installés avec des profils bien connus (JDEINSTAL, ALDONCMS, S2KOBJOWN, par exemple) et les mots de passe correspondants.

Pour aider à  trouver les profils utilisateurs qui ont un mot de passe correspondant, l’OS/400 fournit la commande ANZDFTPWD (Analyze Default Passwords). Par ailleurs, pour empêcher les utilisateurs de sélectionner des mots de passe triviaux, un officier de sécurité d’OS/400 peut utiliser la commande CHGSYSVAL (Change System Value) pour définir des valeurs système. Je recommande les règles de mots de passe suivantes pour tous les systèmes :

1 – Demander une longueur de mot de passe minimale de 6 caractères (plus c’est long, mieux c’est)
2 – Exiger que les mots de passe contiennent au moins un chiffre
3 – Obliger les utilisateurs à  changer leurs mots de passe tous les 60 jours
4 – Empêcher la réutilisation du même mot de passe, avec au moins 10 mots de passe différents dans l’intervalle
5 – Empêcher l’utilisation consécutive du même caractère.

Téléchargez gratuitement cette ressource

Sécurité Office 365 : 5 erreurs à ne pas commettre

Sécurité Office 365 : 5 erreurs à ne pas commettre

A l’heure où les données des solutions Microsoft de Digital Workplace sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités Microsoft 365, Exchange et Teams ? Découvrez les 5 erreurs à ne pas commettre et les bonnes pratiques recommandées par les Experts DIB France.

Tech - Par iTPro - Publié le 24 juin 2010