Sécurité : Deux nouvelles initiatives de Microsoft concernant les mots de passe

Nous avons traité le sujet des mots de passe lors du Briefing Calipia de Juin, en essayant d’avoir une approche globale qui a mené et des conclusions assez simples dont voici un résumé :

  • Un mot de passe doit être « fort », c’est-à-dire ne pas pouvoir être deviné par des attaques de type dictionnaire (au sens large), et résister à des attaques de type force brute en augmentant son entropie, celles-ci étant de plus en plus efficaces du fait de la disponibilité de pré-calculs des condensés cryptographiques appelés les Rainbow Tables.
  • Un mot de passe peut être donné ou volé assez facilement par des techniques d’ingénierie sociale assez basiques ou d’hameçonnage informatique (le phishing) de plus en plus efficaces.
  • Différentes offres de gestion de mots de passe ont été décrites.
  • Il existe une alternative basée sur la cryptographie asymétrique (clé publique / clé privée) qui se développe et est à la base des solutions d’authentification multi-facteurs.
  • Il y a une volonté des acteurs de l’informatique d’éradiquer les mots de passe, avec par exemple pour Microsoft la combinaison de Azure Active Directory, les comptes Microsoft, Hello For Business, et Microsoft Authenticator.

Cela dit les mots de passe on encore un avenir notamment du fait de leur simplicité de mise en œuvre et de leur compatibilité avec des systèmes anciens, donc il est important de s’assurer qu’au moins ils soient forts.

Et c’est ce problème des mots de passe faibles que Microsoft se propose d’adresser, avec Azure AD Password Protection et Smart Lockout.

Azure AD Password Protection, vous aide à concevoir des mots de passe forts, tout en vous interdisant l’usage de mots de passe répertoriés dans une liste noire.

061918_0620_AzureADPass2

L’outil est capable d’identifier des caractères de substitution tels que « $ » pour « S », ou « 3 » pour « E », par exemple. Les administrateurs système peuvent, en sus, ajouter leur propre liste de mots de passe à bannir.

Microsoft lance également un second outil, Smart Lockout. Celui vient en complément de Azure AD Password Protection, en cela qu’il permet d’identifier la provenance des tentatives de connexion, et donc de déceler d’éventuelles actions malveillantes.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.