IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Microsoft Azure Discussion :

Azure AD Password Protection, la fonctionnalité de protection des mots de passe d'Azure AD


Sujet :

Microsoft Azure

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Étudiant
    Inscrit en
    Novembre 2013
    Messages
    378
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2013
    Messages : 378
    Points : 10 421
    Points
    10 421
    Par défaut Azure AD Password Protection, la fonctionnalité de protection des mots de passe d'Azure AD
    Azure AD Password Protection disponible
    la fonctionnalité de gestion de mots de passe réduit le risque d'attaques de type Password Spraying

    Une attaque informatique du type Password Spraying consiste à tester dans un système, un ensemble limité de mots de passe sur un ensemble de comptes pour, à l’inverse d’une tentative par Force Brute, rester discret et ne pas déclencher les blocages des comptes ou les alertes. Lors de ce type d'attaque, plusieurs comptes vont être exposés en particulier ceux dont les utilisateurs avaient des mots de passe faisant partie des plus communs. Dans le but de protéger les utilisateurs de ce genre d'attaques et d'améliorer la sécurité sur leur plateforme, les équipes d'Azure ont développé une fonctionnalité de gestion des mots de passe qui est d'ailleurs déjà disponible.

    Azure Active Directory est un outil d’intégration d’identité locale, qui permet de connecter plusieurs utilisateurs à Microsoft Office 365 ainsi qu'à des milliers d’applications SaaS. Les utilisateurs disposent ainsi d’une authentification unique pour l’intégralité des applications web locales et fonctionnant sur le cloud. Cette nouvelle fonctionnalité servira donc à bloquer les mots de passe couramment utilisés et compromis, ce qui réduira considérablement les risques liés aux attaques de type Password Spraying.

    Nom : Capture.png
Affichages : 3367
Taille : 114,4 Ko

    Une première version de cette fonctionnalité avait déjà été publiée en juin de l'année dernière, mais la version actuelle a été optimisée. Elle est livrée avec un algorithme de gestion des mots de passe bannis, qui a été enrichi avec une base de données contenant des mots de passe récemment utilisés lors des violations de données ainsi que plus d'un million de variantes de substitution de caractères de ces mots de passe.

    Désormais, il est impossible pour les utilisateurs de pouvoir choisir un mot de passe facile à deviner ou déjà inclus dans la liste des mots de passe bannis. D'ailleurs Alex Simons, vice-président de la gestion des programmes de la division Microsoft Identity, a fait savoir qu'Azure mettra régulièrement à jour la base de données des mots de passe interdits en se basant sur des milliards d'authentifications et sur l'analyse des informations d'identification divulguées sur le web.

    Ainsi, s'il arrivait qu'un utilisateur veuille remplacer son mot de passe par un de ceux ayant été bannis, il verrait s'afficher un message d'erreur disant ceci : « Malheureusement, votre mot de passe contient un mot, une phrase ou un motif qui permet de facilement le deviner ». Cette fonctionnalité est déjà disponible pour les environnements cloud et hybrides.

    La nouvelle fonctionnalité peut facilement être configurée à partir du portail Azure AD, mais il faut au préalable se connecter à ce portail avec un compte administrateur global. Ensuite, accéder au panneau Méthodes d'Authentification et d'y découvrir enfin la fonctionnalité Password Protection. A partir de là, il est possible de la configurer, ce qui implique la gestion de la protection par mot de passe pour Azure AD et Windows Server AD sur site. Il y est également possible de personnaliser les paramètres de verrouillage intelligent Azure AD et spécifier une liste de mots de passe supplémentaires à bloquer, propre à une entreprise.

    Source : Microsoft

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Microsoft dévoile l'Azure Kinect, un nouveau périphérique qui tire parti du Cloud et de l'IA, Zoom sur le successeur de la Kinect pour Windows
    Microsoft présente Azure Sentinel et Threat Experts pour aider les professionnels de la sécurité à réagir plus rapidement lors de cyberattaques
    Azure DevOps : Microsoft annonce le successeur de Visual Studio Team Services et un service d'intégration et déploiement continus intégrés à GitHub
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Inactif  
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2019
    Messages
    203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Gabon

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2019
    Messages : 203
    Points : 583
    Points
    583
    Par défaut
    Citation Envoyé par Jonathan Voir le message
    Azure mettra régulièrement à jour la base de données des mots de passe interdits en se basant sur des milliards d'authentifications et sur l'analyse des informations d'identification divulguées sur le web
    cela voudrait dire que cette nouvelle fonctionnalité servira à pas grand chose puisque s'il faut tout le temps attendre que les pirates essaient des mots de passe pour que ceux-ci puissent être inclus dans la base de données des mots de passe bannis, alors cette fonctionnalité aura toujours du retard sur les pirates.

  3. #3
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 260
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 260
    Points : 3 402
    Points
    3 402
    Par défaut
    Les milliards d'authentifications sont directement analysé sur leur propre serveurs Azure, pour ce qui est des informations d'identification divulguées, oui, non seulement cela survient après, mais ne concerne que les éléments divulgué.

    Ce qu'il faut comprendre, c'est que ça a pour but d'empêcher les utilisateurs d'Azure de faciliter (ou de ne pas compliquer) la réussite d'attaques courantes. Et qui dit "courante" implique inévitablement une relation au temps, à la mode... et à sa démocratisation, son adoption, son ampleur. Donc suivre se qui se voit dans les divulgations est plutôt pertinent. =)

    Pour ce qui est d'anticiper, effectivement, c'est pas la solution. ^^'
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  4. #4
    Inactif  
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2019
    Messages
    203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Gabon

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2019
    Messages : 203
    Points : 583
    Points
    583
    Par défaut
    ah ouais, je comprends mieux.

  5. #5
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 826
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 826
    Points : 36 056
    Points
    36 056
    Par défaut Microsoft : Azure Active Directory supporte désormais les mots de passe à 256 caractères
    Microsoft : Azure Active Directory supporte désormais les mots de passe à 256 caractères
    Pour améliorer la sécurité

    Le service d’annuaire est l’un des composants les plus importants d’un système d’information. Il permet d’offrir des moyens de stocker toutes les informations qui caractérisent l’ensemble des ressources pouvant exister dans une entreprise ainsi que de disposer des services capables de rendre ces informations globalement accessibles aux utilisateurs et cela en fonction de leurs droits et privilèges. Les ingénieurs Microsoft ne sont sans doute pas les derniers à le savoir. Ils l’ont compris et cela se traduit par davantage d’innovations sur leur plateforme Azure Active Directory (Azure AD) et principalement sur l’aspect sécuritaire. C’est dans cet esprit que Microsoft annonce la suppression de la limite de 16 caractères pour les mots de passe sur Azure Active Directory, permettant ainsi aux administrateurs de pouvoir utiliser jusqu'à 256 caractères avec un minimum de 8 caractères.

    Pour rappel, Azure Active Directory est le service de Microsoft qui gère les annuaires et les identités basées sur le cloud mutualisé. Ce programme inclut une suite complète de fonctionnalités telles que l’authentification multifacteur, l’administration des mots de passe et l'inscription d’appareils. Il intègre également une fonctionnalité pour gérer des comptes privilégiés, le contrôle d’accès selon le rôle, la surveillance de l’utilisation de l’application, la création d’audit complet, la sécurité, les alertes...

    Les services professionnels Microsoft Online tels qu'Office 365 ou Microsoft Azure requièrent Azure AD pour la connexion et la protection de l'identité. Si vous vous abonnez à un service professionnel Microsoft Online, vous obtenez automatiquement Azure Active Directory avec un accès à toutes les fonctionnalités gratuites.

    Sécurité dans le Cloud

    Grâce à des solutions de pointe telles que l’accès conditionnel, l’implémentation de la stratégie de défense en profondeur sur l’identité, les mots de passe, les données, les hôtes et les réseaux, Microsoft soutient détenir la clé de la sécurité sur Azure AD et publie de nouvelles stratégies et exigences associées aux comptes d'utilisateur dans Azure Active Directory.

    Nom : connectaad.png
Affichages : 2739
Taille : 19,9 Ko

    Ci-dessous quelques-unes de ces stratégies et exigences.

    Stratégies d'expiration de mot de passe dans Azure AD

    Un administrateur général ou un administrateur d'utilisateurs d'un service du cloud de Microsoft peut utiliser le module Microsoft Azure AD pour Windows PowerShell afin de définir les mots de passe des utilisateurs pour qu'ils n'expirent pas. Vous pouvez également utiliser les applets de commandes Windows PowerShell pour supprimer la configuration jamais expirée ou pour voir les mots de passe utilisateur définis pour ne jamais expirer.

    Politique de réinitialisation des mots de passe administrateur

    Microsoft applique une stratégie de réinitialisation du mot de passe à deux entrées par défaut pour tout rôle d'administrateur Azure. Cette stratégie peut être différente de celle que vous avez définie pour vos utilisateurs et ne peut pas être modifiée. Vous devez toujours tester la fonctionnalité de réinitialisation du mot de passe en tant qu'utilisateur, sans aucun rôle d'administrateur Azure attribué.

    Stratégies du UserPrincipalName qui s'appliquent à tous les comptes d'utilisateur

    Chaque compte d'utilisateur qui doit se connecter à Azure AD doit avoir une valeur d'attribut UPN (User Principal Name) unique associée à son compte.

    Stratégies de mots de passe qui s'appliquent uniquement aux comptes d'utilisateurs dans le nuage

    La liste suivante décrit quelques paramètres de stratégies de mots de passe appliqués aux comptes d'utilisateur créés et gérés dans Azure AD.

    Restrictions de mot de passe

    Exigences :
    • un minimum de 8 caractères et un maximum de 256 caractères ;
    • requiert trois des quatre des éléments suivants :
      • caractères minuscules,
      • caractères majuscules,
      • nombres (0-9) ;
    • symboles (voir les restrictions de mot de passe précédentes) ;
    • etc.


    Caractères non autorisés

    Exigences :
    • caractères Unicode ;
    • ne peut contenir un caractère de point « . » précédant immédiatement le symbole « @ ».


    Durée d'expiration du mot de passe

    valeur par défaut : 90 jours, la valeur est configurable à l'aide de la commande Set-MsolPasswordPolicycmdlet du module Azure Active Directory pour Windows PowerShell.


    Verrouillage de compte

    Après 10 tentatives de connexion infructueuses avec un mot de passe incorrect, l'utilisateur est verrouillé pendant une minute. D'autres tentatives de connexion incorrectes bloquent l'utilisateur pour des durées croissantes. Le verrouillage intelligent suit les trois derniers hachages de mots de passe incorrects pour éviter d'incrémenter le compteur de verrouillage pour le même mot de passe. Si quelqu'un saisit le même mot de passe incorrect plusieurs fois, ce comportement ne provoquera pas le verrouillage du compte.

    Quel est l'intérêt de passer à 256 caractères pour un mot de passe, me direz-vous ?

    Les cybercriminels utilisent différents types d’attaques pour compromettre les systèmes parmi lesquelles les attaques de mots de passe. Ces dernières constituent un problème permanent pour les ingénieurs en sécurité réseau. Les acteurs de la menace utilisent de nombreuses méthodes, y compris les attaques hors ligne appelées cassage de mot de passe.

    Les attaques par mot de passe hors ligne sont beaucoup plus dangereuses. Dans une attaque en ligne, le mot de passe a la protection du système dans lequel il est stocké à l'exemple des stratégies développées ci-dessus. Il n'existe pas de telle protection lors d'attaques hors ligne. Dans ce dernier cas, l'attaquant capture la forme chiffrée du mot de passe pour ensuite faire d'innombrables tentatives afin de déchiffrer le mot de passe sans être remarqué. Pour ce faire, l'acteur de la menace a besoin d'outils tels que des extracteurs pour deviner l'algorithme de hachage, la table arc-en-ciel pour rechercher les mots de passe en texte clair et des snipers de mots de passe pour extraire les informations d’authentification. Le concept des tables arc-en-ciel est que le cybercriminel calcule les mots de passe possibles et leurs hachages dans un système donné et place les résultats dans une table de recherche appelée « table table arc-en-ciel ». Cela permet à un attaquant d'obtenir le mot de passe en clair. Pour atténuer les attaques des tables arc-en-ciel, l'utilisation des mots de passe longs est nécessaire.

    En se limitant à ce problème de sécurité sur les mots de passe, on peut rapidement comprendre l’importance de la longueur des mots de passe sur Azure Active Directory.

    Défis sécuritaire sur Azure active Directory

    L’un des principes clés du Cloud computing est la réduction de la propriété et de la maintenance du matériel et des logiciels, ce qui permet aux organisations de se concentrer sur leurs stratégies et leurs points forts. Cependant, en adoptant un service de Cloud computing, les entreprises doivent abandonner le contrôle direct de tout système qu’elles déplacent vers le Cloud, ce qui engendre naturellement des inquiétudes et suscite de nombreuses questions quant à la sécurité et aux responsabilités. Avec, pour certains, la conviction que sa sécurité est impossible à garantir. Généralement, les API et les interfaces utilisateur constituent la partie la plus exposée de tout système d’application Cloud. Par conséquent, des contrôles adéquats les protégeant d’Internet ne constitueraient pas la première ligne de défense ?


    Source : Microsoft

    Et vous ?

    Microsoft ne devrait-elle pas peut être se pencher davantage sur les préoccupations de sécurité courantes des entreprises concernant le déplacement de leur infrastructure vers le Cloud ?
    Que pensez-vous de la stratégie de sécurité de Microsoft Azure Active Directory ?

    Peut on prétendre à une sécurité absolue dans le Cloud ?

    Voir aussi

    Azure AD Password Protection disponible, la fonctionnalité de gestion de mots de passe réduit le risque d'attaques de type Password Spraying
    Microsoft annonce la disponibilité générale d'Azure Dev Spaces, un add-on pour Azure Kubernetes Service, qui ambitionne de booster la productivité
    93 % des Français utilisent des mots de passe faibles, d'après une enquête d'Avast, qui met la lumière sur les pratiques des Français en la matière
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  6. #6
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    26 826
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 26 826
    Points : 218 288
    Points
    218 288
    Billets dans le blog
    117
    Par défaut
    Bonjour,

    En effet, une limite de 16 caractères, c'est naze (comme d'autres limites telles que : que des chiffres, de 4 à 8 caractères...). Toutefois, les gens risquent de continuer à mettre "password" ou "123456". Et même s'ils mettent un long mot de passe, il faut surtout qu'il ne soit pas sauvegardé en clair dans la BDD.
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  7. #7
    Membre actif
    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    99
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2011
    Messages : 99
    Points : 230
    Points
    230
    Par défaut
    256 caractères?
    et comment les gens peuvent retenir les 256 caractères? un post-it sur l'écran ne suffira même plus...

    trop de mot de passe tue la sécurité

  8. #8
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 168
    Points : 4 654
    Points
    4 654
    Par défaut
    Avec KeePass ça fait un baille que j'ai arrêté de retenir mes mots de passe. En fait, j'ai que des trucs générés aléatoirement maintenant.

  9. #9
    Invité
    Invité(e)
    Par défaut
    256 caractères?
    et comment les gens peuvent retenir les 256 caractères? un post-it sur l'écran ne suffira même plus...

    trop de mot de passe tue la sécurité
    Justement, des politiques pareilles poussent les utilisateurs aux post-it. Voilà la faille !

    Bah, on finira par avoir un lecteur de code ADn, couplés aux empreintes avec confirmation vocale validée par l'iris intégré à tout ordinateur qui se respecte. Patience !

Discussions similaires

  1. Créer des niveaux de protection - plusieurs mot de passe
    Par faustina dans le forum Macros et VBA Excel
    Réponses: 6
    Dernier message: 11/07/2018, 12h11
  2. [Toutes versions] moyen plus sûr que la protection par mot de passe des macros
    Par issoram dans le forum Macros et VBA Excel
    Réponses: 0
    Dernier message: 13/11/2011, 18h38
  3. Tester un mot de passe dans un Active Directory
    Par Tidus159 dans le forum C#
    Réponses: 5
    Dernier message: 10/06/2011, 11h00
  4. Réponses: 3
    Dernier message: 16/11/2008, 14h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo