Menu Français (France) Čeština Dansk Deutsch English (US) Español (Latinoamérica) Español (España) Suomi Français (Canada) हिंदी Magyar Bahasa Indonesia Italiano 日本語 한국어 Bahasa Melayu Nederlands Norsk Polski Português do Brasil Português (Portugal) Română Русский svenska ไทย Türkçe Українська Tiếng Việt 简体中文 繁體中文

Manuel de produit PasswordIQ

Mise à jour:

Création:

Qu’est-ce que PasswordIQ ?

Disponible avec les abonnements Diamant, PasswordIQ de KnowBe4 vous permet de contrôler les vulnérabilités des mots de passe de vos utilisateurs. Le client PasswordIQ recherche les vulnérabilités dans les paramètres liés aux mots de passe de votre Active Directory. Il compare les mots de passe de vos utilisateurs à ceux corrompus et faibles de diverses listes et bases de données. Le client communique ensuite avec KMSAT pour afficher les résultats de votre recherche sur votre tableau de bord.

Pour activer PasswordIQ, accédez à Intégrations du compte > PasswordIQ dans vos Paramètres du compte. Ensuite, cochez la case Activer PasswordIQ.

Remarque : pour utiliser PasswordIQ, vous aurez besoin de la version sur sites d’AD. PasswordIQ n’est pas compatible avec Azure AD.
Important : PasswordIQ n’affichera ni ne communiquera jamais les mots de passe de vos utilisateurs. Dans AD, tous les mots de passe sont chiffrés et stockés dans un format haché, de sorte que PasswordIQ et KnowBe4 ne puissent pas accéder aux versions non hachées. 

Consultez les sections ci-dessous pour savoir comment installer le client, exécuter les analyses et afficher vos résultats.

Accéder à :

Exigences

Vulnérabilités

Copie de votre jeton d’API

Installation du client

Exécution des analyses

Affichage de vos résultats

Utilisation de groupes intelligents pour les utilisateurs détectés

Résolution de vos vulnérabilités

 

Exigences

Pour installer le client PasswordIQ, vous devez satisfaire les exigences ci-dessous : 

Remarque : nous vous recommandons d’installer le client sur un autre ordinateur que celui que vous utilisez comme contrôleur de domaine. Le processus d’analyse peut générer un trafic réseau important et une utilisation élevée du processeur. Pour obtenir de meilleurs résultats, installez le client sur une machine virtuelle ou un serveur qui peut fonctionner en continu.
  1. Vous avez accès à un ordinateur qui satisfait les exigences suivantes :
    • Système d’exploitation Windows 10 ou version ultérieure (32 bits ou 64 bits) ou Windows Server 2016 ou version ultérieure.
    • L’ordinateur utilise .NET Framework version 4.7.2 ou ultérieure. Si l’ordinateur utilise une version de .NET Framework comprise entre 4.5.1 et 4.7.2, l’assistant de configuration vous installera la version 4.7.2. Toutefois, si l’ordinateur utilise une version de .NET Framework antérieure à 4.5.1, l’assistant de configuration ne s’ouvrira pas.
    • L’ordinateur possède au moins deux processeurs.
    • L’ordinateur possède au moins 2 Go de RAM.
    • Le lecteur système de l’ordinateur possède au moins 1 Go d’espace disponible sur le disque dur.
    • Le contrôle de compte d’utilisateur (UAC) est activé dans les paramètres de l’ordinateur. 
  2. Vous avez accès à un AD sur sites qui s’exécute sur Windows Server 2008 R2 ou version ultérieure.
    Remarque : si vous avez plusieurs domaines AD, vous devez installer une instance différente du client pour chaque domaine.
  3. Vous avez accès à un administrateur de domaine AD ou un compte AD qui peut être élevé au rang d’administrateur. Ce compte doit disposer des autorisations Réplication des modifications d’annuaire et Réplication de toutes les modifications d’annuaire. Pour plus d’informations, consultez l’article Réplication des modifications d’annuaire de Microsoft.
  4. Vous devez être administrateur KMSAT ou disposer d’un rôle de sécurité avec un accès en Lecture/Écriture à PasswordIQ.

Retour vers le haut

 

Vulnérabilités

Le client PasswordIQ recherche 11 vulnérabilités sur chaque utilisateur et signale celles qu’il a trouvées à KMSAT. 

Pour en savoir plus sur ces vulnérabilités, consultez le tableau ci-dessous :

Vulnérabilité Description
Mots de passe faibles Le mot de passe apparaît dans la liste des mots de passe faibles. Il est courant ou facile à deviner. Il est très probable qu’un cybercriminel devine le mot de passe et accède au compte de l’utilisateur.
Mots de passe partagés Le mot de passe est identique à celui d’un autre utilisateur dans votre AD. Le mot de passe est probablement courant ou simple. Il est donc très probable qu’un cybercriminel accède au compte de l’utilisateur.
Mots de passe en clair Le mot de passe est stocké avec un chiffrement réversible dans votre AD. Le mot de passe peut être déchiffré. Il est donc très probable qu’un cybercriminel accède au compte de l’utilisateur.
Mots de passe vides Le mot de passe ne contient aucun caractère. L’utilisateur se connecte donc au compte en laissant le champ de mot de passe vide. N’importe qui peut accéder au compte de l’utilisateur, y compris les cybercriminels.
Chiffrement DES uniquement Le compte utilise DES (Data Encryption Standard) pour chiffrer le mot de passe de l’utilisateur. DES est une méthode de chiffrement obsolète qui chiffre le mot de passe uniquement avec une clé 56 bits, alors que les méthodes plus récentes utilisent des clés plus longues et plus sécurisées. Il est très probable qu’un cybercriminel devine le mot de passe et accède au compte de l’utilisateur.
Mots de passe corrompus Le mot de passe a été exposé à une violation de données liée à votre compte AD. L’utilisateur utilise activement un mot de passe accessible aux cybercriminels.
Mots de passe non requis L’utilisateur n’a pas besoin de saisir un mot de passe pour se connecter au compte. N’importe qui peut se connecter au compte, y compris les cybercriminels.
Mots de passe sans date d’expiration L’utilisateur n’a pas besoin de changer de mot de passe après une durée définie. L’utilisateur peut utiliser le même mot de passe indéfiniment, ce qui laisse plus de temps aux cybercriminels pour le deviner.
Mots de passe LM Hash Le compte utilise un hachage LAN Manager (LM). Un hachage LM convertit le mot de passe en majuscules, le limite à 14 caractères et le divise en deux groupes de sept caractères. Ce processus affaiblit le mot de passe et les cybercriminels sont plus susceptibles de le déchiffrer.
Clés AES manquantes Le compte n’utilise pas les clés AES (Advanced Encryption Standard) pour chiffrer le mot de passe de l’utilisateur. Les clés AES chiffrent les mots de passe avec une clé 128 bits ou 256 bits. Ils sont donc plus difficiles à déchiffrer.
Pré-authentifications manquantes Le compte ne requiert pas de pré-authentification. Il ne sera donc pas forcément protégé contre les attaques par déchiffrement de mot de passe. La pré-authentification chiffre un horodatage de la demande de connexion via une clé basée sur le mot de passe de l’utilisateur. Ce processus protège contre les attaques de déchiffrement de mot de passe, car il enregistre chaque tentative de connexion au compte.

Pour savoir comment corriger ces vulnérabilités, consultez notre section Résolution de vos vulnérabilités ci-dessous. 

Retour vers le haut

 

Copie de votre jeton d’API

Pour connecter le client PasswordIQ à votre console KMSAT, vous avez besoin de votre jeton d’API de produit.

Pour créer et copier votre jeton d’API, procédez comme suit : 

  1. Connectez-vous à votre compte KMSAT. 
  2. Cliquez sur votre adresse e-mail dans le coin supérieur droit de la page, puis sélectionnez Paramètres du compte.
  3. Accédez à Intégrations du compte > API
  4. Sous API de produit, cliquez sur Jeton d’API. Lien du jeton d’API
  5. Créez un Jeton d’API de produit pour PasswordIQ. Pour en savoir plus, consultez notre article Comment créer un jeton d’API de produit.
  6. Près du jeton d’API que vous avez créé, cliquez sur l’icône en forme de feuille. Vous aurez besoin de ce jeton pour terminer la configuration dans la section Installation du client ci-dessous. Copier le jeton d’API

Retour vers le haut

 

Installation du client

Remarque : La dernière version du client PasswordIQ est 1.0.10.342. Si vous disposez d’une version du client antérieure à la version bêta de PasswordIQ, vous devrez installer cette version avec la nouvelle installation. Vos données ne seront pas transférées d’une version antérieure vers la version 1.0.10.342.

Avant d’installer le client PasswordIQ, vérifiez que votre ordinateur satisfait les exigences énoncées dans la section Exigences ci-dessus. Copiez ensuite votre jeton d’API en suivant les instructions de la section Copie de votre jeton d’API ci-dessus. 

Pour installer le client, procédez comme suit :

  1. Connectez-vous à votre compte KMSAT. 
  2. Accédez à l’onglet PasswordIQ.
  3. Dans l’étape 2 des instructions Bienvenue dans PasswordIQ, cliquez sur le lien Client PasswordIQ. Télécharger le client
  4. Cliquez sur le bouton Oui dans la fenêtre contextuelle. Fenêtre contextuelle au format PNG
  5. Cliquez sur le bouton Suivant
  6. Après avoir lu le contrat de licence logicielle, cliquez sur le bouton Accepter pour accepter les conditions générales.
  7. Si votre ordinateur utilise un serveur proxy pour accéder à Internet, cochez la case Utiliser un serveur proxy et remplissez les champs. Pour en savoir plus, consultez la capture d’écran et la liste ci-dessous. Si votre ordinateur n’utilise pas de serveur proxy pour accéder à Internet, ignorez cette étape. Informations sur le serveur proxy
    1. Adresse IP ou nom : saisissez l’adresse IP ou le nom du serveur proxy. Ces informations sont disponibles dans les paramètres de serveur proxy de votre ordinateur, sous Réseau et Internet > Proxy.
    2. Numéro de port : saisissez le numéro de port du serveur proxy. Ces informations sont disponibles dans les paramètres de serveur proxy de votre ordinateur, sous Réseau et Internet > Proxy.
  8. Cliquez sur le bouton Suivant.
  9. Dans le champ Jeton d’API (Application Programming Interface), collez le jeton d’API que vous avez copié dans la section Copie de votre jeton d’API ci-dessus. Écran du jeton d’API
  10. Cliquez sur le bouton Suivant
  11. Dans les champs Nom d’utilisateur et Mot de passe, saisissez les identifiants de connexion d’un compte de service AD qui satisfait les autorisations requises. Le client utilisera ce compte de service pour exécuter toutes les analyses planifiées.
    Remarque : si ce compte ne dispose pas de l’autorisation Ouvrir une session en tant que service, le client attribuera automatiquement cette autorisation au compte.
    Compte de service Windows
  12. Cliquez sur le bouton Suivant pour terminer l’installation. 

Retour vers le haut

 

Exécution des analyses

Après avoir installé le client PasswordIQ, vous pouvez démarrer l’analyse de votre AD à la recherche de vulnérabilités. Vous devrez exécuter votre première analyse depuis votre client. Ensuite, vous pourrez exécuter les suivantes et créer un planning d’analyses sur votre tableau de bord. Pour en savoir plus, consultez la section Exécution des analyses de notre article Comment utiliser votre tableau de bord PasswordIQ

Remarque : pour protéger les informations de votre mot de passe, les données recueillies par PasswordIQ pendant les analyses ne sont jamais stockées de manière permanente sur le disque dur de votre ordinateur. Elles sont stockées temporairement sur la mémoire vive (RAM) de votre ordinateur.  

Pour exécuter votre première analyse, procédez comme suit :  

  1. Ouvrez le client PasswordIQ.
  2. Dans la section Analyse rapide, cliquez sur le bouton Analyser maintenantBouton Analyser maintenant
  3. Une fois l’analyse terminée avec succès, cliquez sur le bouton Afficher le tableau de bord pour afficher les résultats de votre analyse dans KMSAT. Bouton Afficher le tableau de bord

Retour vers le haut

 

Affichage de vos résultats

Vous ne pouvez voir qu’une partie limitée des résultats depuis le client PasswordIQ. Nous vous recommandons donc d’utiliser votre compte KMSAT pour afficher et analyser vos résultats. Pour accéder à votre tableau de bord, accédez à l’onglet PasswordIQ de votre console KMSAT. 

Pour afficher les résultats de votre analyse, vous pouvez utiliser le tableau de bord par défaut ou créer des tableaux de bord personnalisés. Pour en savoir plus, consultez notre article Comment utiliser votre tableau de bord PasswordIQ

Retour vers le haut

 

Utilisation de groupes intelligents pour les utilisateurs détectés

Vous pouvez utiliser les groupes intelligents pour inscrire les utilisateurs pour lesquels des vulnérabilités ont été détectées à des campagnes d’hameçonnage ou de formation. Par exemple, vous pouvez utiliser le critère Événement PasswordIQ pour inscrire les utilisateurs possédant des mots de passe faibles au module de formation Créer des mots de passe sécurisés - Formation sur la sensibilisation à la sécurité.

Pour en savoir plus sur les groupes intelligents, consultez notre article Comment utiliser les groupes intelligents.

Retour vers le haut

 

Résolution de vos vulnérabilités

Après avoir examiné vos résultats, vous pouvez travailler avec vos utilisateurs pour résoudre les vulnérabilités de leurs mots de passe. Pour en savoir plus, consultez notre article Comment résoudre les vulnérabilités de vos mots de passe

Retour vers le haut

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 7 sur 7
Vous avez d’autres questions ? Envoyer une demande

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.

Articles associés