Résoudre les vulnérabilités liées aux mots de passe

PasswordIQ analyse les utilisateurs de votre Active Directory pour identifier 11 types de vulnérabilités liées aux mots de passe. Après la réception des résultats, vous pouvez travailler avec vos utilisateurs pour résoudre les vulnérabilités liées aux mots de passe détectées par PasswordIQ. Pour savoir comment afficher les résultats de l’analyse, consultez notre article Comment utiliser votre tableau de bord PasswordIQ. 

Pour apprendre comment résoudre les vulnérabilités liées aux mots de passe de vos utilisateurs, consultez les sections ci-dessous. Pour des informations générales au sujet de PasswordIQ, consultez notre Manuel du produit PasswordIQ.

Aller à :

Mot de passe faible

Mot de passe partagé

Mot de passe en texte clair

Mot de passe vide

Chiffrement DES uniquement

Mot de passe piraté

Mot de passe qui n’est pas obligatoire

Mot de passe qui n’expire jamais

Hachage LM du mot de passe

Clés AES manquantes

Authentification préalable manquante

Mot de passe faible

Si PasswordIQ détecte un mot de passe faible, consultez nos recommandations ci-dessous pour résoudre cette vulnérabilité.

1. Avertissez l’utilisateur que son mot de passe actuel est faible.
2. Demandez à l’utilisateur de modifier son mot de passe.
3. Offrez une formation qui enseigne à l’utilisateur comment créer des mots de passe forts. Dans son ModStore, KnowBe4 offre des modules de formation que vous pouvez attribuer à vos utilisateurs, notamment : La création de mots de passe forts – Formation sur la sensibilisation à la sécurité, Comment créer des mots de passe forts, avec test éclair et La sécurité des mots de passe. Pour plus d’informations sur les contenus de formation disponibles sur le ModStore, consultez notre article Guide du ModStore et de la bibliothèque.

Retour au haut de la page

Mot de passe partagé

Si PasswordIQ détecte un mot de passe partagé, consultez nos recommandations ci-dessous pour résoudre cette vulnérabilité.

1. Avertissez l’utilisateur que son mot de passe actuel est partagé.
2. Demandez à l’utilisateur de modifier son mot de passe dans tous les comptes où il est utilisé.
3. Offrez une formation qui enseigne à l’utilisateur comment créer des mots de passe uniques. Dans son ModStore, KnowBe4 offre des modules de formation que vous pouvez attribuer à vos utilisateurs, notamment : La création de mots de passe forts – Formation sur la sensibilisation à la sécurité, Comment créer des mots de passe forts, avec test éclair et La sécurité des mots de passe. Pour plus d’informations sur les contenus de formation disponibles sur le ModStore, consultez notre article Guide du ModStore et de la bibliothèque. 

Retour au haut de la page

Mot de passe en texte clair

Si PasswordIQ détecte un mot de passe en texte clair pour un utilisateur ou pour un groupe d’utilisateurs, le paramètre de chiffrement réversible est peut-être activé pour ces comptes.

Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez Active Directory.
2. Accédez aux propriétés du compte de l’utilisateur.
3. Sélectionnez l’onglet Compte.
4. Dans la section Options du compte, repérez le paramètre Stocker le mot passe à l’aide du chiffrement réversible.

Si PasswordIQ détecte un mot de passe en texte clair pour tous vos utilisateurs, le paramètre de chiffrement réversible est peut-être défini dans votre stratégie de groupe.

Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
2. Accédez à cet emplacement : Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
3. Ouvrez la stratégie Stocker le mot passe à l’aide du chiffrement réversible. 

Retour au haut de la page

Mot de passe vide

Si PasswordIQ détecte un mot de passe vide, le paramètre Longueur minimale du mot de passe est peut-être réglé sur « 0 » dans votre stratégie de groupe. Ce paramètre autorise les mots de passe de zéro caractère.

Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
2. Accédez à cet emplacement : Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
3. Ouvrez la stratégie Longueur minimale du mot de passe.

Retour au haut de la page

Chiffrement DES uniquement

Si PasswordIQ détecte un chiffrement DES uniquement, le paramètre Chiffrement DES uniquement est peut-être activé pour ce compte.

Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez Active Directory.
2. Accédez aux propriétés du compte de l’utilisateur.
3. Sélectionnez l’onglet Compte.
4. Dans la section Options du compte, repérez le paramètre Utiliser les types de chiffrement DES de Kerberos pour ce compte.

Retour au haut de la page

Mot de passe piraté

Si PasswordIQ détecte un mot de passe piraté, consultez nos recommandations ci-dessous pour la résolution de cette vulnérabilité :

1. Avertissez l’utilisateur que son mot de passe actuel est devenu accessible à cause d’une violation de données.
2. Demandez à l’utilisateur de modifier son mot de passe dans tous les comptes où il est utilisé.
3. Attribuez à l’utilisateur la dernière version de la Formation sur la sensibilisation à la sécurité de Kevin Mitnick, afin de le préparer à de potentielles attaques par piratage psychologique. Les cybercriminels sont plus enclins à attaquer des utilisateurs qui ont été impliqués dans des violations de données. 

Retour au haut de la page

Mot de passe qui n’est pas obligatoire

Si PasswordIQ détecte qu’un mot de passe n’est pas requis, l’avertissement PASSWD_NOTREQD est peut-être défini dans l’attribut du compte userAccountControl. Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez Active Directory.
2. Activez les Fonctionnalités avancées (Afficher > Fonctionnalités avancées).
3. Accédez aux propriétés du compte de l’utilisateur.
4. Sélectionnez l’onglet Éditeur d’attributs.
5. Trouvez l’attribut userAccountControl.  

Retour au haut de la page

Mot de passe qui n’expire jamais

Si PasswordIQ détecte un mot de passe qui n’expire jamais pour un utilisateur ou un groupe d’utilisateurs, le paramètre Le mot de passe n’expire jamais est peut-être activé pour ces comptes.

Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez Active Directory.
2. Accédez aux propriétés du compte de l’utilisateur.
3. Sélectionnez l’onglet Compte.
4. Dans la section Options du compte, repérez le paramètre Le mot de passe n’expire jamais.

Si PasswordIQ détecte un mot de passe qui n’expire jamais pour l’ensemble de vos utilisateurs, le paramètre Âge minimal du mot de passe est peut-être réglé sur « 0 » dans votre stratégie de groupe.

Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
2. Accédez à Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options.
3. Ouvrez la stratégie Âge minimal du mot de passe. 

Retour au haut de la page

Hachage LM du mot de passe

Si PasswordIQ détecte un hachage LM du mot de passe, le paramètre de hachage du gestionnaire de réseau local (LAN) est peut-être activé pour votre stratégie de groupe.

Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
2. Accédez à Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.
3. Ouvrez la stratégie Sécurité du réseau : ne pas stocker la valeur de hachage du gestionnaire de réseau local (LAN) lors de la prochaine modification de mot de passe.

Retour au haut de la page

Clés AES manquantes

Si PasswordIQ détecte des clés AES manquantes pour un utilisateur ou pour un groupe d’utilisateurs, cela signifie peut-être que le paramètre de chiffrement AES doit être activé pour ces comptes.

Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez Active Directory.
2. Accédez aux propriétés du compte de l’utilisateur.
3. Sélectionnez l’onglet Compte.
4. Dans la section Options du compte, repérez le paramètre Ce compte prend en charge le chiffrement AES 128/256 bits de Kerberos.

Si PasswordIQ détecte des clés AES manquantes pour tous les utilisateurs, cela signifie peut-être que les types de chiffrement AES doivent être sélectionnés dans votre stratégie de groupe.

Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
2. Accédez à Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options.
3. Ouvrez la stratégie Sécurité du réseau : configurer les types de chiffrement autorisés pour Kerberos. Les clés AES sont AES128_HMAC_SHA1 et AES256_HMAC_SHA1. 

Retour au haut de la page

Authentification préalable manquante

Si PasswordIQ détecte des authentifications préalables manquantes, le paramètre Ne pas exiger l’authentification préalable Kerberos est peut-être activé pour le compte.

Pour trouver ce paramètre, suivez les étapes suivantes :

1. Ouvrez Active Directory.
2. Accédez aux propriétés du compte de l’utilisateur.
3. Sélectionnez l’onglet Compte.
4. Dans la section Options du compte, repérez le paramètre Ne pas exiger l’authentification préalable Kerberos. 

Retour au haut de la page