Stratégies de mots de passe et de sessions

 

Stratégie de mot de passe

La stratégie(ou politique) de mot de passe défini les critères de validité et la durée de vie de mot de passe.
Selon les systèmes et applications, on peut y trouver plusieurs paramètres, ci dessous les plus communs :

- Complexité                         : Exigence de complexité des mots de passe (doit contenir minuscules, majuscules, caractères spéciaux)
- Jeux de caractères             : Défini des caractères ou types de caractères acceptés ou interdits
- Historique                          : Nombre d'anciens mots de passe en mémoire qu'il est impossible de réutiliser*
- Age minimum                    : Durée minimum avant la prochaine possibilité de changement (souvent en heures ou jours)*
- Age maximum                   : Durée de vie (souvent en jours)**
- Longueur minimum           : Nombre de caractères minimum exigé
- Longueur maximum          : Nombre de caractères maximum autorisés
- Vide autorisé                      : Acceptation des mots de passe vide
- Compteur de verrouillage : Nombre de saisie de mauvais mot de passe autorisées
- Type de déverrouillage      : Automatique ou manuel
- Délais de déverouillage     : Durée avant le déverrouillage (souvent en minutes)
- Fermeture à expiration      : Lorsque le mot de passe expiré, la session est fermée (dans certains cas, peut contenir un délai de grâce avant fermeture)

 *ces paramètres ne sont en général pas pris en compte lorsque le mot de passe est réinitialisé avec un autre compte (Administrateur)
 **Ne s'applique pas aux comptes dont ont le paramètre Mot de passe n'expire jamais est activé

- Complexité avancée          : Pour certains accès sensibles, des paramètres de complexité plus avancés peuvent être utilisés.
  Exemples : interdire l'utilisation de données qui apparaissent dans le profil (nom, prénom, login...), interdire les suites triviales (ex:12345), interdire des mots qui apparaissent dans un dictionnaire.

  

Mot de passe des comptes Windows et comptes Microsoft

Windows dispose de stratégies dites locales à l'ordinateur, mais il existe aussi des stratégies applicables aux comptes Microsoft. Dans certains contextes professionnels, il existe également les stratégies de domaine (définis dans les environnements qui disposent de domaines Active Directory)  

Compte Windows : La commande net accounts permet de consulter et modifier les stratégies de mot de passe de votre ordinateur. Ci dessous un exemple du résultat, il présente une stratégie par défaut de Windows 10. Avec les versions Professionnel, Entreprise et Server, vous pouvez éditer la stratégie avec la console de stratégies de groupe. Avec les commutateurs de la commande, il est possible de modifier les valeurs :

Fermeture forcée de la session après expiration : Jamais Durée de vie minimale du mot de passe (jours) : 0 Durée de vie maximale du mot de passe (jours) : 42 Longueur minimale du mot de passe : 0 Nombre de mots de passe antérieurs à conserver : Aucune Seuil de verrouillage : Jamais Durée du verrouillage (min) : 30 Fenêtre d’observation du verrouillage (min) : 30 Rôle de l’ordinateur : STATION

 

Compte Microsoft : La stratégie des compte Microsoft est définie sur les serveurs Microsoft, voir l'écran Modifier votre mot de passe :