IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Microsoft publie une carte blanche qui regroupe des recommandations pour la gestion des mots de passe


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 392
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 392
    Points : 155 013
    Points
    155 013
    Par défaut Microsoft publie une carte blanche qui regroupe des recommandations pour la gestion des mots de passe
    Microsoft publie une carte blanche qui regroupe un ensemble de recommandations pour la gestion des mots de passe,
    que pensez-vous de cette initiative ?

    En 2012, le réseau professionnel LinkedIn a été la victime d’un accès non autorisé puis de la divulgation des mots de passe de ses utilisateurs. La semaine passée, suite à une information qui lui a permis de mener sa propre enquête, LinkedIn a confirmé « qu’un volume plus important de données a été publié et qui prétend renfermer une combinaison d’adresses mails et mots de passe hashés de plus de 100 millions de membres LinkedIn issus du même vol de 2012 ». L’entreprise a alors décidé de révoquer les mots de passe susceptibles d’être concernés et a annoncé la fin de cette opération le 23 mai dernier.

    LeakedSource, le moteur de recherche de données piratées, avait également à sa disposition cette base de données et a fait une liste des 50 mots de passe les plus utilisés. Encore une fois, l’évidence de ces mots de passe a été soulignée : les trois mots de passe les plus utilisés étaient, dans l’ordre, “123456” (utilisé par plus de 753 000 membres), “linkedin” (utilisé par plus de 172 000 membres) et “password” (utilisé par plus de 144 000 membres).

    Suite à ces évènements qui sont loin d’être isolés, Alex Simons, Director of Program Management d’Active Directory chez Microsoft, a avancé que « vous avez sans doute été au courant des informations datant de la semaine dernière qui ont fait état d’un pirate qui vendait une liste de 117 millions de noms d’utilisateurs et mots de passe qui ont fuité de LinkedIn. Avec ce genre de fuites qui se passe presque sur une base hebdomadaire désormais, que peuvent faire les gens pour se protéger ? Et, si vous êtes un administrateur système, que pouvez-vous faire pour protéger les comptes de vos utilisateurs ? ». Aussi, il a fait appel à Robyn Hicock et Alex Weinert, de l’équipe Identity Protection, pour partager avec les administrateurs, mais également les utilisateurs les étapes qu’ils pourraient suivre pour protéger leurs comptes.

    Alex Weinert a expliqué que les approches consistant à :
    • exiger une taille de mot de passe ;
    • exiger une « complexité » du mot de passe ;
    • définir une périodicité régulière de l’expiration du mot de passe

    facilitent en réalité le crack des mots de passe. Pourquoi ? « Parce que les humains agissent de façon prévisible lorsqu’ils font face à ce genre d’exigence »

    Microsoft avance voir plus de 10 millions d’attaques sur des comptes utilisateur par jour. Aussi, pour s’assurer que les utilisateurs s’appuient sur des mots de passe uniques et difficiles à deviner, Microsoft a choisi d’interdire de façon dynamique les mots de passe communs aussi bien dans les comptes Microsoft que dans le système Azure AD.

    Lorsqu’il est question de listes de mots de passe qui sont issues d’une faille dans le système, Microsoft trouve un point de ressemblance entre les cybercriminels et son équipe Azure AD Identity Protection  : les deux entités analysent toutes les deux les mots de passe qui sont le plus souvent utilisés. Seulement, « les méchants se servent de ces données pour leurs attaques - soit en concevant une table arc-en-ciel, soit en essayant de pénétrer les comptes par force brute en utilisant les mots de passe les plus populaires. Tandis que ce que nous faisons avec ces données c’est de vous empêcher d’avoir un mot de passe qui se rapproche de cette liste, de sorte que ces attaques ne fonctionneront pas ».
    Ce service est déjà fonctionnel sur Microsoft Account Service et est en préversion privée sur Azure AD. L’entreprise a l’intention de le déployer sur l’ensemble des utilisateurs Azure AD au courant des prochains mois. Voici ce que voient les utilisateurs d’Azure AD dans la préversion privée :


    Voici ce qui s’affiche sur les comptes des services Microsoft (Outlook, Xbox, OneDrive, etc.)


    En plus d'interdire les mots de passe couramment utilisés pour améliorer la sécurité des comptes des utilisateurs, Microsoft a mis en place une fonctionnalité appelée Smart Password Lockout, destinée à ajouter un niveau supplémentaire de protection lorsqu'un compte est attaqué. Fondamentalement, la fonction a été conçue pour empêcher une intrusion étrangère à un compte lorsque les pirates tentent de deviner le mot de passe, même lorsqu’ils l’effectuent depuis l’ordinateur du titulaire du compte.

    « Bien sûr, vous savez déjà que lorsque notre système de sécurité détecte un pirate qui essaye de deviner votre mot de passe en ligne, nous allons verrouiller le compte. Ce que vous ne savez probablement pas c’est que nous travaillons dur pour nous assurer qu'ils n’y pénètrent pas ! Nos systèmes sont conçus pour déterminer le risque associé à une session spécifique de connexion. Avec cela, nous pouvons appliquer la sémantique de verrouillage seulement pour les gens qui ne sont pas vous », a expliqué Weinert.

    Par la suite, il recommande aux administrateurs Azure AD de vérifier que les utilisateurs ont des configurations convenables. Dans une carte blanche avec pour titre Microsoft Password Guidance et publiée récemment, Robyn Hicock a donné une série de recommandations pour la gestion de mots de passe, qui incluent l’élimination des mots de passe vulnérables du système, l’éducation des utilisateurs, l’utilisation de l’authentification à plusieurs facteurs, etc. Si la carte blanche a été publiée spécialement pour les plateformes Identity de Microsoft (Azure Active Directory, Active Directory, mais aussi les comptes Microsoft), il peut vraisemblablement être utile sur toute autre plateforme.

    Source : blog Microsoft, Microsoft Password Guidance (au format PDF)

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Plus de 100 millions d'identifiants de comptes LinkedIn issus d'un vol de données datant de 2012 sont vendus sur le Dark Web
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Architecte Web / Android
    Inscrit en
    août 2003
    Messages
    6 394
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Architecte Web / Android
    Secteur : Industrie

    Informations forums :
    Inscription : août 2003
    Messages : 6 394
    Points : 18 588
    Points
    18 588
    Par défaut
    qui prétend renfermer une combinaison d’adresses mails et mots de passe hashés
    avait également à sa disposition cette base de données et a fait une liste des 50 mots de passe les plus utilisés
    Donc ca veux dire que des sites de l'ampleur de linkedin utilisent encore des hash qui sont sensibles aux rainbow table ? Parce que très clairement si les bons hash sont utilisés il me semble compliqué d'obtenir les mots de passes des comptes , ou alors c'est qu'il n'ya pas que les données qui ont été compromise mais aussi les sources
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  3. #3
    Membre habitué
    Homme Profil pro
    Développeur informatique
    Inscrit en
    avril 2009
    Messages
    391
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : avril 2009
    Messages : 391
    Points : 185
    Points
    185
    Par défaut
    Citation Envoyé par grunk Voir le message
    Donc ca veux dire que des sites de l'ampleur de linkedin utilisent encore des hash qui sont sensibles aux rainbow table ? Parce que très clairement si les bons hash sont utilisés il me semble compliqué d'obtenir les mots de passes des comptes , ou alors c'est qu'il n'ya pas que les données qui ont été compromise mais aussi les sources
    Ou alors, on ne nous dit pas tout ! Conspiration !

  4. #4
    Membre expérimenté Avatar de nchal
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2012
    Messages
    512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2012
    Messages : 512
    Points : 1 646
    Points
    1 646
    Par défaut
    Pas besoin de complexité... juste de la longueur...
    Le mot de passe : "mot de passe pour le site developpez.net" est, je pense, très robuste.
    Si la réponse vous convient, un petit ça encourage.
    Avant tout nouveau post, pensez à : la FAQ, Google et la fonction Recherche
    Si vous devez poster, pensez à: Ecrire en français, la balise [CODE] (#) et surtout

  5. #5
    Membre extrêmement actif
    Avatar de Sodium
    Femme Profil pro
    Développeuse web
    Inscrit en
    avril 2014
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeuse web

    Informations forums :
    Inscription : avril 2014
    Messages : 2 324
    Points : 1 945
    Points
    1 945
    Billets dans le blog
    1
    Par défaut
    Donc ca veux dire que des sites de l'ampleur de linkedin utilisent encore des hash qui sont sensibles aux rainbow table ?
    Je suppose qu'ils font l'inverse, ils prennent les mots de passe les plus utilisés et les testent sur chaque mot de passe hashé.

  6. #6
    Membre du Club
    Inscrit en
    juin 2005
    Messages
    58
    Détails du profil
    Informations forums :
    Inscription : juin 2005
    Messages : 58
    Points : 66
    Points
    66
    Par défaut
    Carte blanche ? Un White paper ? Livre blanc plutôt non ?

  7. #7
    Candidat au Club
    Homme Profil pro
    Inscrit en
    mai 2013
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : mai 2013
    Messages : 2
    Points : 2
    Points
    2
    Par défaut
    Qu'ils commencent par boucher les trous de sécurité des leurs logiciels

Discussions similaires

  1. Réponses: 3
    Dernier message: 22/03/2013, 12h37
  2. Microsoft publie un Livre Blanc sur Office et SharePoint 2010
    Par Gordon Fowler dans le forum Microsoft Office
    Réponses: 1
    Dernier message: 05/10/2010, 16h53
  3. Microsoft publie un Livre Blanc sur Office et SharePoint 2010
    Par Gordon Fowler dans le forum Actualités
    Réponses: 0
    Dernier message: 05/10/2010, 12h36
  4. Réponses: 0
    Dernier message: 10/11/2009, 14h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo