Renforcer la politique des mots de passe dans Active Directory (2)

précaire, amenant les administrateurs à diminuer la complexité de la politique de mot de passe au sein de l’organisation.

Cette problématique est d’autant plus difficile à gérer que le nombre de mots de passe à retenir pour l’utilisateur augmente sans cesse ; d’où une règle relativement simple mais pleine de bon sens : « il faut tendre vers un nombre limité de mots de passe, et augmenter la complexité de ces mots de passe. » Il est en effet illusoire d’imaginer qu’un utilisateur puisse retenir et gérer une dizaine de mots de passe complexes, cela se soldera irrémédiablement par la mise en oeuvre du syndrome du « post-it » qui va bien évidement à l’encontre d’une politique de sécurité intelligente. Il convient donc de réfléchir à un projet d’unification des mots de passe ainsi que d’éduquer les utilisateurs.

3. Unifier les mots de passe Comme nous venons de l’évoquer, il est plus facile de sécuriser fortement un mot de passe et un seul, plutôt que de tenter la sécurisation des dizaines d’authentifications différentes. Trois approches technologiques différentes permettent d’unifier les mots de passe au sein des organisations :

a. Le Single Sign On, ou SSO, permet à l’utilisateur de ne réaliser qu’une seule authentification puis d’ouvrir l’ensemble des applications présentes dans l’organisation sans avoir besoin de se ré authentifier. Techniquement, le mot de passe utilisé dans les différentes applications n’est pas forcement le même, mais une application cliente ou web permet de gérer une table de correspondance entre un compte utilisateur et les applications. Version3 Inc et Evidian sont des fournisseurs de solutions SSO.

 b. Le Common Sign On, ou CSO, permet à l’utilisateur de ne mémoriser qu’un seul mot de passe pour l’ensemble des applications. Techniquement les changements de mot de passe sont interceptés au niveau des contrôleurs de domaine ou réalisés via une interface propriétaire, puis poussés vers les applications distantes. Le même mot de passe est alors stocké dans chaque système ou application, l’utilisateur devra certes se ré authentifier, mais utilisera toujours le même mot de passe. Avatier et MTech sont des fournisseurs de solutions CSO.

c. L’unification d’annuaire. L’objectif de cette technologie est d’unifier la gestion des authentifications et des autorisations dans un seul annuaire, Active Directory. Cette technologie se base généralement sur des protocoles
interopérables tels que Kerberos et LDAP. L’avantage de cette technologie réside dans la simplicité d’un point de vue administration système, en effet Active Directory concentre alors toutes les fonctions d’authentification et d’autorisation pour l’ensemble des systèmes Windows, Unix, Linux, NAS ou Macintosh. Centrify et Centeris sont des fournisseurs de solution d’unification d’annuaire.

4. Eduquer les utilisateurs L’implémentation d’une politique de mot de passe doit être comprise et accepter par les utilisateurs du réseau. L’éducation de vos utilisateurs est un facteur clé de succès pour la mise en oeuvre de votre projet. Fournissez à vos utilisateurs l’outil en ligne « Microsoft Password Checker » disponible à l’url http://www.microsoft. com/protect/yourself/password/checker.mspx afin qu’ils puissent prendre conscience de la notion de mot de passe complexe. L’application efficace de votre politique de sécurité passe par une acceptation volontaire des utilisateurs de votre organisation.