Exposition No 3 : Mots de passe triviaux

changer leurs mots de passe la première fois qu’ils se connectent. Même quand l’expiration d’un mot de passe est prévue, les utilisateurs qui demandent un mot de passe négligent souvent de se connecter tout de suite et donc, leurs mots de passe et profils utilisateurs restent les mêmes.

Fournir un mot de passe identique à  son nom de profil utilisateur est une méthode courante d’accès de la part d’un pirate. Je me suis pour ma part connecté à  des systèmes de banques et d’autres organismes financiers en utilisant des mots de passe triviaux pour les profils utilisateurs livrés par IBM, et même des profils utilisateurs créés par l’installation comme TEST, PCUSER, FTP et USER1. Souvent, des programmes applicatifs tierce partie sont installés avec des profils bien connus (JDEINSTAL, ALDONCMS, S2KOBJOWN, par exemple) et les mots de passe correspondants.

Pour aider à  trouver les profils utilisateurs qui ont un mot de passe correspondant, l’OS/400 fournit la commande ANZDFTPWD (Analyze Default Passwords). Par ailleurs, pour empêcher les utilisateurs de sélectionner des mots de passe triviaux, un officier de sécurité d’OS/400 peut utiliser la commande CHGSYSVAL (Change System Value) pour définir des valeurs système. Je recommande les règles de mots de passe suivantes pour tous les systèmes :

1 – Demander une longueur de mot de passe minimale de 6 caractères (plus c’est long, mieux c’est)
2 – Exiger que les mots de passe contiennent au moins un chiffre
3 – Obliger les utilisateurs à  changer leurs mots de passe tous les 60 jours
4 – Empêcher la réutilisation du même mot de passe, avec au moins 10 mots de passe différents dans l’intervalle
5 – Empêcher l’utilisation consécutive du même caractère.