Utiliser PasswordIQ

Remédier aux vulnérabilités des mots de passe

PasswordIQ analyse les comptes des utilisateurs de votre application Active Directory à la recherche de 11 types de vulnérabilités de mot de passe. Après avoir reçu les résultats de cette analyse, vous pouvez travailler avec vos utilisateurs pour résoudre les vulnérabilités de leurs mots de passe détectées par PasswordIQ. Pour savoir comment afficher les résultats de votre analyse, consultez notre article Comment utiliser votre tableau de bord PasswordIQ.

Pour savoir comment résoudre les vulnérabilités des mots de passe de vos utilisateurs, consultez les sections ci-dessous. Pour obtenir des informations générales sur PasswordIQ, consultez notre Manuel de produit PasswordIQ.

Important :les besoins en matière de sécurité pouvant être propres à votre organisation, nous ne saurions vous recommander quelles modifications apporter à votre stratégie de groupe ni à vos paramètres Active Directory. Toutefois, les sections ci-dessous fournissent des instructions qui peuvent vous aider à trouver les paramètres liés aux vulnérabilités des mots de passe de vos utilisateurs.

Mots de passe faibles

Lorsque PasswordIQ détecte un mot de passe faible, reportez-vous à nos recommandations ci-dessous pour résoudre cette vulnérabilité :

  1. Indiquez à l’utilisateur que son mot de passe actuel est faiblement sécurisé.
  2. Demandez à l’utilisateur de modifier son mot de passe.
  3. Proposez une formation à l’utilisateur qui lui apprendra à créer des mots de passe sécurisés. KnowBe4 propose des modules de formation, disponibles dans le ModStore, que vous pouvez assigner à vos utilisateurs, notamment Créer des mots de passe sécurisés - Formation sur la sensibilisation à la sécurité, Comment créer des mots de passe sécurisés et questionnaire et Sécurité des mots de passe. Pour en savoir plus sur le contenu de formation du ModStore, consultez notre article Guide sur le ModStore et la bibliothèque.

Mots de passe partagés

Si PasswordIQ détecte un mot de passe partagé, reportez-vous à nos recommandations ci-dessous pour résoudre cette vulnérabilité :

  1. Indiquez à l’utilisateur que son mot de passe actuel est un mot de passe partagé.
  2. Demandez à l’utilisateur de modifier son mot de passe pour tous les comptes pour lesquels il l’utilise.
  3. Proposez une formation à l’utilisateur qui lui apprendra à créer des mots de passe uniques. KnowBe4 propose des modules de formation, disponibles dans le ModStore, que vous pouvez assigner à vos utilisateurs, notamment Créer des mots de passe sécurisés - Formation sur la sensibilisation à la sécurité, Comment créer des mots de passe sécurisés et questionnaire et Sécurité des mots de passe. Pour en savoir plus sur le contenu de formation du ModStore, consultez notre article Guide sur le ModStore et la bibliothèque.

Mots de passe en clair

Si PasswordIQ détecte un mot de passe en clair pour un utilisateur ou un groupe d’utilisateurs, le paramètre de chiffrement réversible est peut-être activé pour leurs comptes.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, recherchez le paramètre Enregistrer le mot de passe en utilisant un chiffrement réversible. Assurez-vous que cette option n’est pas sélectionnée.
  5. Avertissez vos utilisateurs qu’ils doivent changer leurs mots de passe.

Si PasswordIQ détecte un mot de passe en clair pour l’ensemble de vos utilisateurs, il se peut que le paramètre de chiffrement réversible soit activé dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à ce dossier : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe.
  3. Ouvrez la stratégie Enregistrer le mot de passe en utilisant un chiffrement réversible. Vérifiez que cette stratégie est désactivée.
  4. Forcez l’actualisation des stratégies de groupe appliquées par votre organisation.
  5. Avertissez vos utilisateurs qu’ils doivent changer leurs mots de passe.
Important :lorsque des paramètres d’une stratégie de groupe sont désactivés, les nouveaux mots de passe sont enregistrés par défaut à l’aide d’un chiffrement unidirectionnel. Les mots de passe existants déjà sont enregistrés à l’aide d’un chiffrement réversible jusqu’à ce qu’ils soient modifiés par les utilisateurs.

Mots de passe vides

Si PasswordIQ détecte un mot de passe vide, le paramètre Longueur minimale du mot de passe est peut-être défini sur 0 dans votre stratégie de groupe. Ce paramètre permet aux mots de passe de ne contenir aucun caractère.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à ce dossier : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe.
  3. Ouvrez la stratégie Longueur minimale du mot de passe.

Chiffrement DES uniquement

Si PasswordIQ détecte un chiffrement DES uniquement, le paramètre Chiffrement DES est peut-être activé pour le compte.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, recherchez le paramètre Utiliser les types de chiffrement DES via Kerberos pour ce compte.
Conseil :vous pouvez activer le chiffrement Advanced Encryption Standard (AES) comme alternative sécurisée au chiffrement DES. Pour en savoir plus, consultez la section Chiffrement AES non activé ci-dessous.

Mots de passe corrompus

Si PasswordIQ détecte un mot de passe corrompu, reportez-vous à nos recommandations ci-dessous pour résoudre cette vulnérabilité :

  1. Indiquez à l’utilisateur que son mot de passe actuel est accessible en raison d’une violation de données.
  2. Demandez à l’utilisateur de modifier son mot de passe pour tous les comptes pour lesquels il l’utilise.
  3. Affectez-lui la dernière version de notre Formation sur la sensibilisation à la sécurité KnowBe4 pour le préparer à d’éventuelles attaques par ingénierie sociale. Les cybercriminels peuvent être plus enclins à cibler les utilisateurs impliqués dans des violations de données.

Mots de passe non requis

Si PasswordIQ détecte un mot de passe non requis, l’indicateur PASSWD_NOTREQD est peut-être défini dans l’attribut userAccountControl du compte. Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Activez Fonctionnalités avancées (Affichage > Fonctionnalités avancées).
  3. Accédez aux propriétés de compte de l’utilisateur.
  4. Sélectionnez l’onglet Éditeur d’attribut et recherchez l’attribut userAccountControl.
Important :l’attribut userAccountControl comporte une valeur décimale pour tous les signaux d’alarme activés pour les utilisateurs. Pour supprimer l’indicateur PASSWD_NOTREQD, soustrayez sa valeur décimale de 32 à la valeur décimale de l’attribut userAccountControl.

Mots de passe sans date d’expiration

Si PasswordIQ détecte un mot de passe sans date d’expiration pour un utilisateur ou un groupe d’utilisateurs, le paramètre Le mot de passe n’expire jamais est peut-être activé pour leurs comptes.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, recherchez le paramètre Le mot de passe n’expire jamais.

Si PasswordIQ détecte un mot de passe sans date d’expiration pour l’ensemble de vos utilisateurs, il se peut que le paramètre Antériorité maximale du mot de passe soit défini sur 0 dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Configuration ordinateur\Politiques\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Options de sécurité.
  3. Ouvrez la stratégie Antériorité maximale du mot de passe.
  4. Forcez l’actualisation des stratégies de groupe appliquées par votre organisation.

Vous pouvez également vérifier si une stratégie de mot de passe fine relative à l’antériorité maximale du mot de passe est appliquée pour un groupe d’utilisateurs.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez le centre d’administration d’Active Directory.
  2. Accédez à « Domaine » \Système\Conteneur des paramètres de mot de passe.
  3. Vérifiez que l’option Antériorité maximale du mot de passe est désactivée pour les stratégies de mot de passe répertoriées.
Important : PIQ ne vérifie que les politiques de mots de passe Windows. Si vos politiques sont définies et gérées par des applications tierces, vous pouvez désactiver ce contrôle de vulnérabilité dans la section Vulnérabilités optionnelles des paramètres Avancés.

Mots de passe LM Hash

Si PasswordIQ détecte un mot de passe LAN Manager (LM) Hash, il se peut que le paramètre LM Hash soit activé dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
  3. Ouvrez la stratégie Sécurité réseau : N’enregistrez pas de valeur LAN Manager Hash dans votre prochaine stratégie de modification de mot de passe.
  4. Forcez l’actualisation des stratégies de groupe appliquées par votre organisation.
  5. Avertissez vos utilisateurs qu’ils doivent changer leurs mots de passe.

Chiffrement AES non activé

Si PasswordIQ détecte que le chiffrement Advanced Encryption Standard (AES) n’a pas été défini pour un utilisateur ou un groupe d’utilisateurs, il se peut que le paramètre Chiffrement AES ait besoin d’être activé pour ces comptes.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, recherchez les paramètres Ce compte prend en charge le chiffrement AES-128 bits via Kerberos ou Ce compte prend en charge le chiffrement AES-256 bits via Kerberos. Sélectionnez l’option disponible.

Si PasswordIQ détecte que le chiffrement AES n’a été défini pour aucun de vos utilisateurs, il se peut que les types de chiffrement AES doivent être sélectionnés dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
  3. Ouvrez la stratégie Sécurité réseau : stratégie Configurer les types autorisés pour Kerberos. Les clés AES sont les suivantes : AES128_HMAC_SHA1 et AES256_HMAC_SHA1.
Important : si le chiffrement AES n’est pas autorisé dans votre environnement, vous pouvez désactiver ce contrôle de vulnérabilité dans la section Vulnérabilités optionnelles des paramètres Avancés.

Pré-authentifications manquantes

Si PasswordIQ détecte une pré-authentification manquante, le paramètre La pré-authentification Kerberos n’est pas nécessaire est peut-être activé pour le compte.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options de compte, recherchez le paramètre La pré-authentification Kerberos n’est pas nécessaire.

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance