Discussion :

[zooro]

Bonjour,

J'ai toujours eu du mal à comprendre pourquoi la politique de sécurité des entreprises (pas toutes, mais la plupart) oblige les utilisateurs à modifier leur mot de passe de login à intervalles réguliers.

J'ai pour ma part un jeu de 5 ou 6 mots de passe alliant majuscules, minuscules, chiffres et caractères spéciaux. Je les utilise partout, et si j'ai oublié le mot de passe que j'avais associé à un compte quelconque (sur un forum par exemple ), je pourrais le retrouver rapidement en essayant mes 5 ou 6 mots de passe habituels.

Dans l'entreprise où je suis actuellement, on me demande de modifier mon mot de passe chaque mois, sans reprendre les 10 derniers. J'ai commencé par utiliser mes 6 mots de passe habituels, puis j'ai séché. Du coup, j'utilise des variations sur des mots visibles sur mon bureau (marque de l'écran, panneau visible par la fenêtre...), et mon mot de passe devient plus commun.

D'où ma question: L'obligation de changer son mot de passe régulièrement contribue-t-il vraiment à la sécurité du réseau ?

[Jannus]

Bof
Mais il y en a qui le croient

Effectivement, le gros problème de cette technique est ce que tu décris. Après un certain temps, et compte tenu du fait qu'il faut théoriquement mémoriser ses MdP, la plupart des usagers contournent le problème et la sécurité n'est plus assurée.

[Eusebius]

D'où ma question: L'obligation de changer son mot de passe régulièrement contribue-t-il vraiment à la sécurité du réseau ?

Du système, plutôt.
A quelqu'un qui tombe "par hasard" sur le fichier des mots de passe chiffrés, il faudra "un certain temps" pour trouver les mots de passe en clair correspondants. L'obligation de changer de mot de passe tous les D jours correspond à l'évaluation qu'il faudra à l'attaquant plus de D jours pour trouver le mot de passe en clair à partir du chiffré.
Pour information, dans la plupart des structures où j'ai travaillé, le fichier shadow est accessible quelque part en lecture, si on cherche bien.

[chaval]

oui, mais plus besoin de trouver le fichier shadow si les utilisateurs notent leur mot de passe actuel sur un post it vers leur ordi

Dans notre école, on a la meme politique. J'ai fini moi aussi par les noter, j'en ai marre d'aller voir l'admin toutes les 2 semaines parceque j'ai oublié le mot de passe

[Eusebius]

oui, mais plus besoin de trouver le fichier shadow si les utilisateurs notent leur mot de passe actuel sur un post it vers leur ordi

La conservation du mdp sur un support physique (bon... pas sur l'ordi, mais dans la poche mettons) est plus sûre que sur un support numérique, les attaquants étant rarement des pick-pockets. Un papier dans un portefeuille, c'est généralement considéré comme un risque modéré si on y fait attention, alors qu'un ordi dans une salle non fermée à clé, c'est une aberration en matière de sécurité.
Il y a comme ça un protocole d'authentification dont j'ai oublié le nom, basée sur une liste de clés (enfin, de mots de passe) à usage unique que l'utilisateur a sur lui lorsqu'il voyage par exemple. Et la force du protocole réside dans le fait que les clés sont écrites sur le papier, mais pas conservées sur le serveur (ni elles, ni leur hash).

[gangsoleil]

Bonjour,

Un bon mot de passe sous Windows doit avoir plus de 14 caractères. En effet, il a été montré qu'en dessous de ce nombre de caractères, les collisions sont plus fréquentes, et il est relativement facile de craquer le mot de passe.

Pour ce qui est de la changer régulièrement, c'est clairement un problème :
- Si la fréquence de changement est trop grande (toutes les semaines), alors on peut être certain que les mots de passe seront écrits, par exemple sur un post-it sur l'écran.
- Si la fréquence de changement est trop faible, alors la sécurité de l'infrastructure diminue, puisqu'une attaque bien menée peut réussir à casser un mot de passe avant son changement.

Une politique classiquement mise en place consiste en un changement mensuel, sans réutiliser les 12 derniers mots de passe. C'est relativement contraignant, et la plupart des utilisateurs n'en voient pas l'utilité - C'est peut être là qu'est le plus gros problème... (i.e. le manque de formation et d'information)

[Zipyz]

Bonjour,

Je pense que le plus important est de sécuriser les données réellement confidentielles. J'ai deja vu dans des entreprises les utilisateurs obligés de changer leur mot de passe tous les mois sans qu'ils ne détiennent d'informations importantes, par contre les mots de passe aux serveurs étaient vraiment bidons. Les deux choses les plus importantes sont de cerner les informtions réellement importantes et d' "éduquer" les utilisateurs".

[TheoBenson]

je pense qu'un administrateur doit changer sont mot de passe regulierement et en ce qui concerne le temp (chaque mois) je trouve que sa rend plutot parano!!

cdt

[zooro]

A quelqu'un qui tombe "par hasard" sur le fichier des mots de passe chiffrés, il faudra "un certain temps" pour trouver les mots de passe en clair correspondants. L'obligation de changer de mot de passe tous les D jours correspond à l'évaluation qu'il faudra à l'attaquant plus de D jours pour trouver le mot de passe en clair à partir du chiffré.

D'accord, avec ton explication, je comprends mieux.

[_solo]

Si la securite dans ton entreprise est si importante pousse ta direction a utiliser un systeme encore plus sure type MDP otp comme avec http://www.audiosmartcard.com/.

La ou je travail on utilise que ca a cause des pseudos admin avec des MDP comme happy (moi je suis celui qui les tape quand j'en trouve un comme ca )

[zooro]

Si la securite dans ton entreprise est si importante pousse ta direction a utiliser un systeme encore plus sure type MDP otp comme avec http://www.audiosmartcard.com/.

Je suis consultant de plusieurs entreprises internationales. La sécurité n'est pas mon domaine d'intervention (excepté la sécurité des applis que je développe ). Celà dit, la plupart de mes clients utilisent un système de badges et de sas permettant de restreindre l'accès aux locaux.