Le mot de passe est la clé

de nombreux outils pour aider les organisations à mettre en œuvre la stratégie et mesurer la conformité. Pour qu’un outil soit efficace, il faut prendre le temps d’apprendre à le configurer dans les règles.

Cependant, les outils visent principalement à empêcher un accès non autorisé aux ressources par certaines personnes, et pas à détecter si un imposteur s’est authentifié en usurpant les références d’autrui. Si un assaillant s’authentifie à l’aide d’un profil et mot de passe utilisateur valides, il sera autorisé à accéder aux ressources de ce profil utilisateur et il est peu probable que la supervision ou l’audit détectent à temps la supercherie. Une organisation peut consacrer beaucoup de temps et d’énergie à définir, mettre en œuvre et superviser une stratégie de sécurité, mais tout cela ne servira à rien si quelqu’un s’authentifie auprès d’un serveur au moyen d’une fausse identification.

Cette réalité, plus le fait que l’authentification i se produit généralement quand une personne saisit un couple profil et mot de passe utilisateur valide, fait que tout le monde doit se concentrer sur la gestion des mots de passe : personnel IT, administrateurs de sécurité et utilisateurs finaux. Or, d’après le PowerTech State of System i Security Study 2008, bon nombre des 217 serveurs i audités en 2007 ne respectaient pas les bonnes pratiques en gestion de mots de passe.

La figure 3 montre que 17 % des profils utilisateur sont configurés avec un mot de passe par défaut (par exemple, un mot de passe qui correspond au nom du profil utilisateur), et 10 % des profils utilisateur validés sont configurés avec un mot de passe par défaut. Par conséquent, si un assaillant connaît la convention de nommage des profils utilisateur d’un serveur et les noms des personnes qui s’y connectent, il peut tomber par chance sur un profil utilisateur avec un mot de passe par défaut. La figure 4 montre également que 28 % des systèmes ont une longueur de mot de passe minimale inférieure à six caractères. La longueur de mot de passe minimale utilise la valeur système QPWDMINLEN dont la valeur par défaut i est six.

De fortes valeurs système

Plusieurs autres valeurs système peuvent garantir que les utilisateurs finaux choisissent des mots de passe i plus forts. Ces valeurs aident à créer des mots de passe plus difficiles à deviner. Voici quelques-unes des valeurs système de mot de passe importantes et les constatations de PowerTech State of System i Security Study 2008 concernant leur usage :

• 58 % des systèmes n’exigent pas un chiffre dans les mots de passe.
• 32 % des systèmes acceptent des mots de passe identiques à des mots précédents.
• 32 % des systèmes ne fixent pas une date d’expiration des mots de passe, et donc un utilisateur peut ne jamais en changer.

 L’ingénierie sociale contribue aussi aux problèmes de sécurité des réseaux et des mots de passe. Particulièrement si quelqu’un disposant d’un accès valide à un serveur accède à une information qu’il n’a pas le droit de voir ou de modifier. Par exemple, n’importe qui dans la même organisation avec un sign-on i connaît sa propre convention de nommage de profil personnel. Si c’est la première initiale plus les neuf premiers caractères du nom patronymique, mon profil utilisateur serait JMCAFEE. Donc, si quelqu’un se procure mon mot de passe par le biais de l’ingénierie sociale ou parce que je l’ai mal protégé, cette personne peut accéder librement à mes fichiers. Les organisations doivent définir et communiquer une stratégie puissante en matière de mot de passe d’utilisateur final, élaborer des règles de composition de mots de passe forts, et exiger leur changement fréquent.