Nous avons traité le sujet des mots de passe lors du Briefing Calipia de Juin, en essayant d’avoir une approche globale qui a mené et des conclusions assez simples dont voici un résumé :

  • Un mot de passe doit être « fort », c’est-à-dire ne pas pouvoir être deviné par des attaques de type dictionnaire (au sens large), et résister à des attaques de type force brute en augmentant son entropie, celles-ci étant de plus en plus efficaces du fait de la disponibilité de pré-calculs des condensés cryptographiques appelés les Rainbow Tables.
  • Un mot de passe peut être donné ou volé assez facilement par des techniques d’ingénierie sociale assez basiques ou d’hameçonnage informatique (le phishing) de plus en plus efficaces.
  • Différentes offres de gestion de mots de passe ont été décrites.
  • Il existe une alternative basée sur la cryptographie asymétrique (clé publique / clé privée) qui se développe et est à la base des solutions d’authentification multi-facteurs.
  • Il y a une volonté des acteurs de l’informatique d’éradiquer les mots de passe, avec par exemple pour Microsoft la combinaison de Azure Active Directory, les comptes Microsoft, Hello For Business, et Microsoft Authenticator.

Cela dit les mots de passe on encore un avenir notamment du fait de leur simplicité de mise en œuvre et de leur compatibilité avec des systèmes anciens, donc il est important de s’assurer qu’au moins ils soient forts.

Et c’est ce problème des mots de passe faibles que Microsoft se propose d’adresser, avec Azure AD Password Protection et Smart Lockout.

Azure AD Password Protection, vous aide à concevoir des mots de passe forts, tout en vous interdisant l’usage de mots de passe répertoriés dans une liste noire.

061918_0620_AzureADPass2

L’outil est capable d’identifier des caractères de substitution tels que « $ » pour « S », ou « 3 » pour « E », par exemple. Les administrateurs système peuvent, en sus, ajouter leur propre liste de mots de passe à bannir.

Microsoft lance également un second outil, Smart Lockout. Celui vient en complément de Azure AD Password Protection, en cela qu’il permet d’identifier la provenance des tentatives de connexion, et donc de déceler d’éventuelles actions malveillantes.