Utiliser PasswordIQ

Résoudre les vulnérabilités liées aux mots de passe

PasswordIQ analyse les utilisateurs de votre Active Directory pour identifier 11 types de vulnérabilités liées aux mots de passe. Après la réception des résultats, vous pouvez travailler avec vos utilisateurs pour résoudre les vulnérabilités liées aux mots de passe détectées par PasswordIQ. Pour savoir comment afficher les résultats de l’analyse, consultez notre article Comment utiliser votre tableau de bord PasswordIQ.

Pour apprendre comment résoudre les vulnérabilités liées aux mots de passe de vos utilisateurs, consultez les sections ci-dessous. Pour des informations générales au sujet de PasswordIQ, consultez notre Manuel du produit PasswordIQ.

Important :Étant donné les besoins uniques de votre organisation en matière de sécurité, nous ne pouvons émettre de recommandations sur les changements à apporter aux paramètres de votre stratégie de groupe et de votre Active Directory. Cependant, les sections ci-dessous fournissent des instructions qui peuvent vous aider à trouver les paramètres adaptés aux vulnérabilités liées aux mots de passe de vos utilisateurs.

Mot de passe faible

Si PasswordIQ détecte un mot de passe faible, consultez nos recommandations ci-dessous pour résoudre cette vulnérabilité.

  1. Avertissez l’utilisateur que son mot de passe actuel est faible.
  2. Demandez à l’utilisateur de modifier son mot de passe.
  3. Offrez une formation qui enseigne à l’utilisateur comment créer des mots de passe forts. Dans son ModStore, KnowBe4 offre des modules de formation que vous pouvez attribuer à vos utilisateurs, notamment : La création de mots de passe forts – Formation sur la sensibilisation à la sécurité, Comment créer des mots de passe forts, avec test éclair et La sécurité des mots de passe. Pour plus d’informations sur les contenus de formation disponibles sur le ModStore, consultez notre article Guide du ModStore et de la bibliothèque.

Mot de passe partagé

Si PasswordIQ détecte un mot de passe partagé, consultez nos recommandations ci-dessous pour résoudre cette vulnérabilité.

  1. Avertissez l’utilisateur que son mot de passe actuel est partagé.
  2. Demandez à l’utilisateur de modifier son mot de passe dans tous les comptes où il est utilisé.
  3. Offrez une formation qui enseigne à l’utilisateur comment créer des mots de passe uniques. Dans son ModStore, KnowBe4 offre des modules de formation que vous pouvez attribuer à vos utilisateurs, notamment : La création de mots de passe forts – Formation sur la sensibilisation à la sécurité, Comment créer des mots de passe forts, avec test éclair et La sécurité des mots de passe. Pour plus d’informations sur les contenus de formation disponibles sur le ModStore, consultez notre article Guide du ModStore et de la bibliothèque.

Mot de passe en texte clair

Si PasswordIQ détecte un mot de passe en texte clair pour un utilisateur ou pour un groupe d’utilisateurs, le paramètre de chiffrement réversible est peut-être activé pour ces comptes.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez Azure Active Directory.
  2. Accédez aux propriétés du compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, repérez le paramètre Stocker le mot passe à l’aide du chiffrement réversible. Assurez-vous que cette option n’est pas sélectionnée.
  5. Avertissez vos utilisateurs qu’ils doivent modifier leurs mots de passe.

Si PasswordIQ détecte un mot de passe en texte clair pour tous vos utilisateurs, le paramètre de chiffrement réversible est peut-être défini dans votre stratégie de groupe.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à cet emplacement : Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  3. Ouvrez la stratégie Stocker le mot passe à l’aide du chiffrement réversible. Assurez-vous que la stratégie est désactivée.
  4. Effectuez de force une mise à jour des stratégies de groupes appliquées à votre entreprise.
  5. Avertissez vos utilisateurs qu’ils doivent modifier leurs mots de passe.
Important :Lorsque les paramètres de la stratégie de groupe sont désactivés, de nouveaux mots de passe seront stockés par défaut à l’aide du chiffrement unidirectionnel. Les mots de passe existants seront stockés à l’aide du chiffrement réversible, jusqu’à ce qu’ils soient modifiés par les utilisateurs.

Mot de passe vide

Si PasswordIQ détecte un mot de passe vide, le paramètre Longueur minimale du mot de passe est peut-être réglé sur « 0 » dans votre stratégie de groupe. Ce paramètre autorise les mots de passe de zéro caractère.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à cet emplacement : Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  3. Ouvrez la stratégie Longueur minimale du mot de passe.

Chiffrement DES uniquement

Si PasswordIQ détecte un chiffrement DES uniquement, le paramètre Chiffrement DES uniquement est peut-être activé pour ce compte.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés du compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, repérez le paramètre Utiliser les types de chiffrement DES de Kerberos pour ce compte.
Conseil :Vous pouvez activer la norme de chiffrement avancé (AES) comme alternative sûre au chiffrement DES. Pour plus d’informations, consultez la section Chiffrement AES non défini ci-dessous.

Mot de passe piraté

Si PasswordIQ détecte un mot de passe piraté, consultez nos recommandations ci-dessous pour la résolution de cette vulnérabilité :

  1. Avertissez l’utilisateur que son mot de passe actuel est devenu accessible à cause d’une violation de données.
  2. Demandez à l’utilisateur de modifier son mot de passe dans tous les comptes où il est utilisé.
  3. Attribuez à l’utilisateur la dernière version de la Formation sur la sensibilisation à la sécurité de KnowBe4, afin de le préparer à de potentielles attaques par piratage psychologique. Les cybercriminels sont plus enclins à attaquer des utilisateurs qui ont été impliqués dans des violations de données.

Mot de passe qui n’est pas obligatoire

Si PasswordIQ détecte qu’un mot de passe n’est pas requis, l’avertissement PASSWD_NOTREQD est peut-être défini dans l’attribut du compte userAccountControl. Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez Azure Active Directory.
  2. Activez les Fonctionnalités avancées (Afficher > Fonctionnalités avancées).
  3. Accédez aux propriétés du compte de l’utilisateur.
  4. Sélectionnez l’onglet Éditeur d’attributs et recherchez l’attribut userAccountControl.
Important :L’attribut userAccountControl comprend une valeur décimale pour chaque signal d’alarme activé pour les utilisateurs. Pour supprimer l’indicateur PASSWD_NOTREQD, soustrayez sa valeur décimale (virgule flottante, 32 bits) de la valeur décimale de l’attribut userAccountControl.

Mot de passe qui n’expire jamais

Si PasswordIQ détecte un mot de passe qui n’expire jamais pour un utilisateur ou un groupe d’utilisateurs, le paramètre Le mot de passe n’expire jamais est peut-être activé pour ces comptes.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez Azure Active Directory.
  2. Accédez aux propriétés du compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, repérez le paramètre Le mot de passe n’expire jamais.

Si PasswordIQ détecte un mot de passe qui n’expire jamais pour l’ensemble de vos utilisateurs, le paramètre Âge maximal du mot de passe est peut-être réglé sur « 0 » dans votre stratégie de groupe.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Security Options.
  3. Ouvrez la stratégie Âge maximal du mot de passe.
  4. Effectuez de force une mise à jour des stratégies de groupes appliquées à votre entreprise.

Vous souhaiterez peut-être vérifier si une stratégie de mot de passe affinée liée à l’âge maximal du mot de passe est appliquée au groupe d’utilisateurs.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez le Centre d’administration Active Directory.
  2. Accédez à « Domaine » \Système\classe d’objet PSC (Password Settings Container).
  3. Vérifiez si l’option Âge maximum du mot de passe imposé est désactivée pour les stratégies de mot de passe énumérées.
Important : PIQ ne vérifie que les stratégies de mot de passe Windows. Si vos politiques sont définies et gérées par des applications tierces, vous pouvez désactiver ce contrôle de la vulnérabilité dans la section Vulnérabilités optionnelles des paramètres Avancés.

Hachage LM du mot de passe

Si PasswordIQ détecte un hachage de gestionnaire de réseau local (LM) du mot de passe, le paramètre de hachage LM est peut-être activé pour votre stratégie de groupe.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options.
  3. Ouvrez la stratégie Sécurité du réseau : ne pas stocker la valeur de hachage du gestionnaire de réseau local (LAN) lors de la prochaine modification de mot de passe.
  4. Effectuez de force une mise à jour des stratégies de groupes appliquées à votre entreprise.
  5. Avertissez vos utilisateurs qu’ils doivent modifier leurs mots de passe.

Chiffrement AES non défini

Si PasswordIQ détecte que le chiffrement AES (Advanced Encryption Standard) n’a pas été défini pour un utilisateur ou un groupe d’utilisateurs, cela signifie peut-être que le paramètre de chiffrement AES doit être activé pour ces comptes.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez Azure Active Directory.
  2. Accédez aux propriétés du compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, repérez le paramètre Ce compte prend en charge le chiffrement AES 128 bits de Kerberos ou le paramètre Ce compte prend en charge le chiffrement AES 256 bits de Kerberos. Sélectionnez l’option disponible.

Si PasswordIQ détecte que le chiffrement AES (Advanced Encryption Standard) n’a pas été défini pour tous les utilisateurs, cela signifie peut-être que les types de chiffrement AES doivent être sélectionnés dans votre stratégie de groupe.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options.
  3. Ouvrez la stratégie Sécurité du réseau : configurer les types autorisés pour Kerberos. Les clés AES sont AES128_HMAC_SHA1 et AES256_HMAC_SHA1.
Important : Si le chiffrement AES n’est pas pris en charge dans votre environnement, vous pouvez désactiver ce contrôle de la vulnérabilité dans la section Vulnérabilités optionnelles des paramètres Avancés.

Authentification préalable manquante

Si PasswordIQ détecte des authentifications préalables manquantes, le paramètre Ne pas exiger l’authentification préalable Kerberos est peut-être activé pour le compte.

Pour trouver ce paramètre, suivez les étapes suivantes :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés du compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, repérez le paramètre Ne pas exiger l’authentification préalable Kerberos.

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance