> Tech > La corvée de la gestion des mots de passe

La corvée de la gestion des mots de passe

Tech - Par Jack McAfee - Publié le 11 juillet 2011
email

Sans aucun doute, la gestion des mots de passe est un fardeau pour les administrateurs système et de sécurité. Après avoir créé et communiqué une stratégie de mots de passe, il faut la surveiller et la gérer.

Et, comme cette gestion est critique pour le respect de la stratégie de sécurité, vous devez la vérifier souvent.

La corvée de la gestion des mots de passe

Du point de vue de l’utilisateur final, les gens doivent généralement mémoriser plusieurs mots de passe (au bureau et à la maison). Ils ont donc tendance à « autosynchroniser » leurs mots de passe autant que possible, ou à utiliser le même mot de passe ou la même forme de mot de passe pour des profils utilisateur multiples sur différents serveurs ou applications.

Les gens notent leurs mots de passe, sous forme écrite ou électronique, ou sur tout appareil mobile, quelle que soit la stratégie de mot de passe de leur entreprise. Pourquoi ? Ils ne veulent pas avouer avoir oublié leur mot de passe ni passer du temps avec le help desk pour le redéfinir.

Quoi qu’il en soit, les gens oublient leurs mots de passe et cela coûte à l’entreprise du temps et de l’argent qui seraient mieux utilisés ailleurs. Diverses études conduites par des sociétés dont les produits contribuent à réduire cette dépense, constatent que les demandes de redéfinition de mot de passe représentent environ 50 % de tous les appels adressés au help Ddsk et que chacune d’elles coûte à l’entreprise environ 30 dollars.

Certains fournisseurs vendent des outils de redéfinition de mot de passe en self-service (SSPR, self-service password reset). Généralement, une solution SSPR propose une interface utilisateur de type web, qui présente à celui qui a oublié son mot de passe ou qui veut le changer sur plusieurs systèmes en même temps, une liste de questions auxquelles lui seul peut répondre (par exemple : lieu de naissance, nom de jeune-fille de la mère, etc.) Si la personne répond correctement, elle peut redéfinir le mot de passe, sans recourir au help desk.

D’autres solutions incluent des outils de capture/relecture et synchronisation de mots de passe. Un produit de capture/relecture de mot de passe fonctionne à peu près de la même manière qu’un navigateur web car il propose de mémoriser des mots de passe pour toutes les applications qu’il reconnaît. Cependant, les produits de capture/relecture sont difficiles à gérer. En principe, un service fonctionne sur l’ordinateur de l’utilisateur final pour reconnaître les invites d’ID et mot de passe utilisateur, et vous devez mettre à jour le service continuellement ainsi que reconnaître toutes les applications de l’organisation.

De plus, ce service est une cible idéale pour les assaillants parce que tous les ID et mots de passe se trouvent dans une base de données centrale, que vous devez mettre à jour et protéger efficacement.

De son côté, un produit de synchronisation de mots de passe essaie d’aider les utilisateurs finaux en leur demandant de se souvenir d’un seul mot de passe qui est répliqué pour leurs ID utilisateur dans toute l’entreprise. Les produits de synchronisation des mots de passe présentent trois difficultés. Premièrement, vous devez installer et exécuter des jobs ou services sur chaque serveur pour envoyer et recevoir les demandes de changement de mots de passe. Là encore, vous devez maintenir et protéger soigneusement ces jobs ou services.

Deuxièmement, vous devez aligner le temps de redéfinition des mots de passe sur tous les serveurs et applications gérés ; faute de quoi, les utilisateurs finaux devront changer leur mot de passe bien trop souvent. Troisièmement, les administrateurs doivent remettre d’aplomb les synchronisations de mots de passe qui ont échoué.

Téléchargez cette ressource

Comment lutter contre le Phishing ?

Comment lutter contre le Phishing ?

Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.

Tech - Par Jack McAfee - Publié le 11 juillet 2011