Suite des trucs & astuces

de
base estimé : 8 000 dollars.

Q: Pourquoi mon nouveau
contrôleur USB 2.0 ne
fonctionne-t-il pas sous
Windows XP ? Quand j’installe
l’adaptateur PCI, XP reconnaît
l’adaptateur comme un contrôleur
USB, mais quand j’examine le
gestionnaire, XP affiche une erreur
m’indiquant que le driver n’a
pas été installé. Que se passe-t-il ?

XP ne possède pas le support
natif USB 2.0. Demandez au
fournisseur de votre adaptateur
USB de voir s’il a des drivers pour
XP.

Q: Ma société m’a demandé
de recommander une longueur
de mot de passe
pour les comptes utilisateur.
La longueur actuelle est de quatre
caractères, avec un maximum de huit. Nous songeons à  porter la longueur
minimale à  six ou huit caractères.
Jusqu’à  ce jour, quatre caractères
semblaient suffisants, compte
tenu que nos systèmes appliquent
un blocage après trois mots de passe incorrects. La fonction de
blocage est-elle suffisante face à 
un perceur de mots de passe qui
utiliserait des listes de mots, la
force brutale, ou des renifleurs ?

R: La politique de blocage ou de
verrouillage des comptes n’affecte
pas les perceurs de mots de
passe parce qu’ils travaillent offline sur
des hashes de mots de passe d’un fichier
SAM volé ou sur des paquets challenge/
réponse qu’ils reniflent dans le réseau.
Des études considèrent que six caractères
est le minimum d’un bon mot
de passe (pour lire l’une de ces études,
allez à  http://www.smat.us/sanity/pwdilemma.
html). Une politique de blocage
stricte peut compenser quelque peu de
faibles mots de passe des utilisateurs,
mais elle ne fait que gêner les attaques,
sans les empêcher vraiment. Les trois paramètres
de blocage – Account Lockout
Duration, Account Lockout Treshold, et
Reset Account Lockout Counter – sont
plus importants combinés que Account
Lockout Treshold (c’est-à -dire, le nombre
de mots de passe incorrects autorisés)
à  lui seul. Je recommande de fixer
votre politique de blocage à  trois tentatives
de connexion invalides dans un délai
de 1 440 minutes (24 heures) et pas
de déblocage automatique.
La politique de blocage stricte doit
être assortie d’une supervision diligente.
Quand un utilisateur demande qu’on débloque
son compte, le responsable du
support doit vérifier l’identité de l’utilisateur
et confirmer que celui-ci se souvient
bien d’avoir introduit un mot de
passe incorrect trois fois pendant les dernières
24 heures. Si l’utilisateur ne s’en
souvient pas, quelqu’un est peut être en
train d’attaquer le compte. Vous pouvez
poursuivre en analysant les journaux de
sécurité des DC (domain controllers).
Recherchez l’event ID 675 (pre-authentication
failed) avec le code de défaillance
24 et l’event ID 681 (logon failed) avec le
code d’erreur 3221225578. Les deux événements
indiquent l’adresse IP ou le
nom de la station de travail à  l’origine du
logon infructueux. Ces événements indiquent
quand les tentatives de logon se
sont produites et peuvent aider à  trouver
le coupable ou au moins à  confirmer
que les tentatives de logon incorrectes
venaient de la station de travail de l’utilisateur
légitime.
Les politiques de mots de passe
comme la longueur minimale et la complexité
n’ont que peu d’effet sur les perceurs
de mots de passe. En exigeant des
mots de passe plus longs ou en augmentant
la gamme des caractères que les utilisateurs
peuvent mettre dans les mots
de passe, vous pouvez compliquer et allonger
la tâche du perceur, mais il parviendra
quand même à  ses fins. Bien que
certains prétendent que l’utilisation de
caractères ASCII étendus, comme un
smiley permettent de créer des mots de
passe à  l’épreuve des outils de cracking
de mots de passe comme LC4 de
@stake, ce n’est pas vrai. Ces caractères
ne font que compliquer la tâche du perceur.
LC4 a plusieurs jeux de caractères
prédéfinis que vous pouvez utiliser pour
le cracking de mots de passe, comme AZ,
A-Z et 0-9 et A-Z et 0-9 avec des symboles
courants. Plus le jeu de caractères
est étendu et plus il faut de temps pour
percer le mot de passe. LC4 vous permet
aussi de créer des jeux de caractères qui
incluent des caractères étendus.