Les aléas de la sécurité

Réinitialiser les mots de passe que des utilisateurs ont oubliés est la plaie de tout administrateur. Une enquête du META Group indique que cette seule tâche coûte aux sociétés de 10 000 utilisateurs, plus d’un demi-million de dollars par an (http://www.microsoft.com/technet/security/guidance/ identitymanagement/idmanage/p2pass.mspx ).

Mais il est possible d’alléger ce fardeau, voire de l’éliminer. Ma thérapie préférée est celle de l’électrochoc. Moyennant un bricolage du câblage clavier et l’aide d’un pilote de périphérique, vous pouvez envoyer 220 volts aux doigts de vos utilisateurs quand ils entrent des mots de passe incorrects. Deux ou trois secousses et le problème est résolu !

Mais trêve de plaisanterie : vous pouvez apprendre aux utilisateurs à mémoriser les mots de passe par des méthodes de changement de comportement moins violentes. La technique de mémorisation de mots de passe la plus efficace que je connaisse est la suivante : utiliser la première lettre de chaque mot d’une phrase connue de l’utilisateur. Ce doit être une phrase comportant des noms propres et des nombres afin de produire un mot de passe complexe avec des lettres majuscules et des caractères non alphabétiques.

 Vous pouvez bien sûr laisser les utilisateurs choisir leur propre phrase, mais j’ai obtenu de meilleurs résultats en la choisissant moi-même. D’ailleurs ce choix peut être amusant s’il s’inspire, avec tact, d’un trait personnel de l’utilisateur. Bien entendu, si vous êtes soumis à une règle de sécurité maison qui vous interdit de connaître les mots de passe d’autrui (pas plus que vous ne pouvez exécuter un « cracker » de mot de passe, n’est-ce pas ?), il vous faudra chercher d’autres solutions.

Voyons de plus près l’outil de réinitialisation de mots de passe automatique. Réinitialiser le mot de passe d’un utilisateur est une opération administrative plutôt simple : authentifier celui qui demande la réinitialisation du mot de passe, trouver son compte et réinitialiser son mot de passe. Pourquoi ne pas automatiser cela ? Il existe déjà diverses solutions de réinitialisation de mots de passe en self-service pour vous débarrasser de cette corvée, et il n’est pas difficile d’en justifier le coût par l’allègement du fardeau de l’équipe informatique.

Les solutions existantes proposent diverses méthodes de réinitialisation des mots de passe par les utilisateurs eux-mêmes. Elles vont des applications Web aux systèmes basés sur le téléphone. Parmi les acteurs, citons Avatier Password Station et P-Synch de M-Tech Information Technology. Recherchez sur le Web quelque chose du genre « réinitialisation de mots de passe en self-service » et le tour est joué