Politique de mot de passe (communs)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Wormboy74
Messages : 2
Inscription : 18 août 2023 07:40

Politique de mot de passe (communs)

par Wormboy74 »

Bonjour à tous!

Je le permets de vous solliciter pour avoir quelques conseils.

Je pose le cas :
Je suis dans une entreprise avec sites distants (magasins).
Les utilisateurs des postes (sur domaine) ne sont pas nommés car tout le monde est susceptible d'utiliser le poste (caisse).
Nous devons mettre en place une politique de renouvellement de mot de passe.

Ma problématique n'est pas technique mais plutôt organisationnelle.
Nous voudrions avoir plus de sécurité mais nous savons que les utilisateurs ont tendance à coller les mots de passe sur les postes.
Le changement de mot de passe peut être à l'initiative de n'importe quel utilisateur. Un utilisateur pourrait changer le mot de passe du poste sans le transmettre à ses collègues (a moins de le noter....).
La mise en place d'un coffre fort de mot de passe à été envisagée mais la problématique dans ce cas est l'accès au coffre fort single poste est verrouillé et le mot de passe inconnu.
De plus notre équipe n'est pas forcément taillée pour répondre quotidiennement à trop de sollicitations pour renouvellement de mot de passe.

Est-ce que certains d'entre vous ont été dans ce cas? Si oui quelle organisation avez-vous mis en œuvre?

Je vous remercie d'avance pour vos conseils !!
Avatar de l’utilisateur
Parisien_entraide
Messages : 17689
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Politique de mot de passe (communs)

par Parisien_entraide »

Mot de passe incorrect.jpg

Bonjour

Je n'ai pas tout saisi..
L'entreprise n'a pas de service informatique dédié ou via contrat ?

La politique du renouvellement à terme (parfois tous les 30 jours mais généralement à 90 jours comme préconisé par l'ANSSI) est considérée comme obsolète et dangereuse pour la simple raison qu'au final les gens finissent par mettre des mots dont ils se souviendront (en lien avec leur environnement, activités etc) ou alors avec des dérives comme juste changer un chiffre à la fin ou une lettre, parce que le changement intervient trop souvent à leur goût
D'où d'ailleurs l'usage du post it par ex ou de moyens mnémotechniques avec par ex des photos des enfants, du chat, du chien sur le bureau

L'ANSSI indique
"l’utilisateur est tenté d’utiliser des mots de passe plus faibles ou qui s’apparentent aux précédents, pour faciliter leur mémorisation."
Le truc c'est qu'on ne sait rien de l'environnement qui permet d'accès à cette "caisse" (et il ne faut pas donner de détails dans un forum public car on ne sait jamais qui lit)

Edit :
A lire https://www.cnil.fr/fr/mots-de-passe-un ... a-securite

Ca tombe bien l'ANSSI dans le lien indique
"L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus).
MAIS il faut tenir compte du contexte (schema sur le lien)

Quatre facteurs de risque sont à prendre en compte :

- la simplicité du mot de passe ;
- l’écoute sur le réseau afin de collecter les mots de passe transmis ;
- la conservation en clair du mot de passe ;
- la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

Et comme il est dit ce n'est pas tant la longueur du mot de passe qui est à privilégier (mais il y a un minimum requis) mais l'entropie (le degré de complexité du mot de passe)
temps requis dechiffrer mot de passe.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Wormboy74
Messages : 2
Inscription : 18 août 2023 07:40

Re: Politique de mot de passe (communs) résolu

par Wormboy74 »

Bonjour,

Merci pour cette réponse et ses liens très intéressants.

Pour résumer et répondre au mieux aux différentes questions.
Je fais partie du service informatique. Nous avons des soucis de sécurité récemment. C'est pourquoi nous devons mettre en place une politique de mots de passe.
Le contenu de ma demande ne concerne pas la méthode de mise en place de cette politique ni les bonnes pratiques. C'est surtout la gestion côté utilisateurs sur des postes pouvant être partagés et avec mot de passe partagés.

D'après ce que j'ai consulté sur les liens fournis et confirmé par un de nos prestataires, pour des utilisateurs de ce type, nous devons restreindre les droits au minimum (quitte à ouvrir en fonction des besoins fonctionnels du poste) et mettre en place la politique de mot de passe à l'identique sur tous les utilisateurs du domaine. Nous savons pertinemment que les bonnes pratiques côté utilisateurs ne seront pas appliquées pour ceux ci mais, ce risque est compensé par une gestion plus restrictive des droits.

Merci pour tout et bonne journée à la communauté.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »