A lire absolument !

Boîte à outils pour la cryptographie post-quantique disponible

Actuellement, des chercheurs du monde entier développent des ordinateurs quantiques capables de résoudre des problèmes beaucoup plus ...

20/01/2015

Bonnes pratiques sur les mots de passe

Les mots de passe constituent souvent le talon d'Achille des systèmes d'information.

En effet, si les organismes définissent bien souvent une politique de mot de passe, il est rare qu'elle soit effectivement appliquée de manière homogène sur l'ensemble du parc informatique.


Règle 1 - Identifier nominativement chaque personne ayant accès au système.

Cette règle dont l’objet est de supprimer les comptes et accès génériques et anonymes est destinée à faciliter l’attribution d’une action. Cela sera particulièrement utile en cas d’incident.

Règle 2 - Définir des règles de choix et de dimensionnement des mots de passe.

Pour protéger vos informations, il est nécessaire de choisir et d’utiliser des mots de passe robustes c'est à dire difficiles à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne.

Voici quelques recommandations :
  • Utilisez un mot de passe unique pour chaque service. En particulier, l’utilisation d’un même mot de passe entre sa messagerie professionnelle et sa messagerie personnelle est impérativement à proscrire ;
  • Choisissez un mot de passe qui n’a pas de lien avec vous (mot de passe composé d’un nom de société, d’une date de naissance, etc.) ;
  • Ne demandez jamais à un tiers de générer pour vous un mot de passe ;
  • Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent ;
  • Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ;
  • Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur internet), encore moins sur un papier facilement accessible ;
  • Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
  • Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se "souviennent" pas des mots de passe choisis.
La robustesse d’un mot de passe dépend en général d’abord de sa complexité, mais également aussi de divers autres paramètres, expliqué en détail dans le document Recommandations de sécurité relatives aux mots de passes.

Si vous souhaitez une règle simple : choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).


Deux méthodes pour choisir vos mots de passe :
  • la méthode phonétique : « J’ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am.
  • la méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.
Règle 3 - Mettre en place des moyens techniques permettant de faire respecter les règles relatives aux mots de passe.

Les moyens permettant de faire respecter la politique de mots de passe pourront être :
  • le blocage des comptes tous les 6 mois tant que le mot de passe n'a pas été changé ;
  • la vérification que les mots de passe choisis ne sont pas trop faciles à retrouver ;
  • la vérification que les anciens mots de passe ne facilitent pas la découverte des nouveaux.
Règle 4 - Ne pas conserver les mots de passe sur les systèmes informatiques.

Les mots de passe ou les éléments secrets stockés sur les machines des utilisateurs sont des éléments recherchés ou exploités en priorité par les attaquants.

Règle 5 - Supprimer ou modifier systématiquement les éléments d'authentification par défaut (mots de passe, certificats) sur les équipements (commutateurs réseau, routeurs, serveurs, imprimantes).

Les éléments par défaut sont bien souvent connus des attaquants. Par ailleurs, ils sont bien souvent triviaux (mot de passe identique à l’identifiant correspondant, mot de passe partagé entre plusieurs équipements d’une même gamme, etc.).

Règle 6 - Privilégier lorsque c’est possible une authentification forte par carte à puce.

Il est fortement recommandé de mettre en oeuvre d’une authentification forte reposant sur l’emploi d’une carte à puce dont l’utilisation est assujettie à la connaissance d’un code PIN (voir annexe B.3 du référentiel général de sécurité ANSSI). 

La mise en place d’un mécanisme de contrôle d’accès par carte à puce sur un système n’en disposant pas, bien qu’étant une mesure d’hygiène informatique, est cependant plus longue et coûteuse que la mise en oeuvre des autres règles décrites dans ce document.

Source : Hygiène Informatique
AKM
Publié par
Pays/territoire : Dakar, Sénégal

Aucun commentaire:

Enregistrer un commentaire

Pour vos avis, suggestions ou demandes de services, merci de laisser un commentaire.

Inscription à : Publier les commentaires (Atom)