Annexe B. Informations relatives aux mots de passe et mots de passe composés. IBM 5.4

Annexe B.

Informations relatives aux mots de passe et mots de passe composés

Cette annexe contient des informations relatives aux mots de passe et mots de passe composés.

Règles relatives aux mots de passe et aux mots de passe composés

Un système sécurisé comporte de nombreux mots de passe et mots de passe composés différents.

Or, ces différents mots de passe répondent à des règles différentes.

Cette section contient des informations sur le mot de passe administrateur et le mot de passe composé UVM.

Règles applicables au mot de passe administrateur

Une interface de l’utilitaire d’administration permet aux administrateurs de sécurité de contrôler les critères de mot de passe administrateur via une interface simple.

Cette interface permet à un administrateur de définir les règles de mot de passe administrateur suivantes :

Remarque :

Le paramètre par défaut pour chaque critère de mot de passe composé est indiqué ci-dessous entre parenthèses.

Le mot de passe administrateur n’expire jamais.

v Définir ou non un nombre minimal de caractères alphanumériques autorisé (oui,

6)

Par exemple, lorsque

″6″ caractères sont autorisés,

1234567xxx est un mot de passe incorrect.

v Définir ou non un nombre minimal de chiffres autorisé (oui, 1)

Par exemple, lorsque ce nombre est défini à

″1″, voicimonmotdepasse est un mot de passe incorrect.

v Définir ou non le nombre minimal d’espaces autorisé (pas de minimum)

Par exemple, lorsque ce nombre est défini à

″2″, je suis absent est un mot de passe incorrect.

v

Autoriser ou non le mot de passe composé à commencer par un chiffre (non)

Par exemple, par défaut, 1motdepasse est un mot de passe incorrect.

v

Autoriser ou non le mot de passe composé à se terminer par un chiffre (non)

Par exemple, par défaut, motdepasse8 est un mot de passe incorrect.

Les règles générales ci-après s’appliquent au mot de passe administrateur.

Longueur

Le mot de passe peut contenir jusqu’à 256 caractères.

Caractères

Le mot de passe peut contenir toute combinaison des caractères que le clavier permet de taper, y compris les espaces et les caractères non alphanumériques.

Propriétés

Le mot de passe administrateur est différent du mot de passe que vous

© Copyright IBM Corp.

2004

93

pouvez utiliser pour ouvrir une session sur un système d’exploitation.

Il peut être utilisé avec d’autres dispositifs d’authentification, tels que les capteurs à empreintes digitales UVM.

Tentatives infructueuses

Si vous tapez plusieurs fois un mot de passe administrateur incorrect durant une session, l’ordinateur met à exécution une série de périodes de suspension anti-martèlement (qui vous empêchent de tenter de vous connecter de façon incessante).

Règles relatives aux mots de passe composés UVM

Le logiciel IBM Client Security permet aux administrateurs de la sécurité de définir les règles qui régissent le mot de passe composé UVM d’un utilisateur.

Pour améliorer la sécurité, le mot de passe composé UVM est plus long qu’un mot de passe traditionnel.

La stratégie de mot de passe composé UVM est contrôlée par l’utilitaire d’administration.

L’interface de stratégie de mot de passe composé UVM de l’utilitaire d’administration permet aux administrateurs de sécurité de contrôler les critères de mot de passe composé via une interface simple.

Cette interface donne à l’administrateur la possibilité d’établir les règles relatives aux mots de passe composés suivantes :

Remarque :

Le paramètre par défaut pour chaque critère de mot de passe composé est indiqué ci-dessous entre parenthèses.

v

Définir ou non un nombre minimal de caractères alphanumériques autorisé (oui,

6)

Par exemple, lorsque

″6″ caractères sont autorisés, 1234567xxx est un mot de passe incorrect.

v

Définir ou non un nombre minimal de chiffres autorisé (oui, 1)

Par exemple, lorsque ce nombre est défini à

″1″, voicimonmotdepasse est un mot de passe incorrect.

v

Définir ou non le nombre minimal d’espaces autorisé (pas de minimum)

Par exemple, lorsque ce nombre est défini à

″2″, je suis absent est un mot de passe incorrect.

v Autoriser ou non le mot de passe composé à commencer par un chiffre (non)

Par exemple, par défaut,

1motdepasse est un mot de passe incorrect.

v Autoriser ou non le mot de passe composé à se terminer par un chiffre (non)

Par exemple, par défaut, motdepasse8 est un mot de passe incorrect.

v Autoriser ou non le mot de passe composé à contenir un ID utilisateur (non)

Par exemple, par défaut,

NomUtilisateur est un mot de passe incorrect, où

NomUtilisateur est un ID utilisateur.

v Vérifier ou non que le nouveau mot de passe composé est différent des x derniers mots de passe composés, où x correspond à une zone modifiable (oui,

3)

Par exemple, par défaut, monmotdepasse est un mot de passe incorrect si l’un de vos trois derniers mots de passe était monmotdepasse .

v

Autoriser ou non le mot de passe composé à contenir plus de trois caractères consécutifs, quel que soit leur emplacement, identiques au mot de passe précédent (non)

Par exemple, par défaut, motdep est un mot de passe incorrect si votre mot de passe précédent était motde ou mdepasse .

94

Logiciel Client Security version 5.4

Guide d’administration et d’utilisation

L’interface Stratégie de mot de passe composé UVM de l’utilitaire d’administration permet aux administrateurs de sécurité de contrôler la péremption des mots de passe composés.

Cette interface donne à l’administrateur la possibilité de choisir les règles de péremption de mots de passe composés suivantes : v

Indiquer si le mot de passe composé expire au bout d’un nombre de jours défini

(oui, 184)

Par exemple, par défaut, le mot de passe composé expire au bout de 184 jours.

Le nouveau mot de passe composé doit respecter la stratégie de mot de passe composé établie.

v

Indiquer si le mot de passe composé doit expirer (oui).

Lorsque cette option est sélectionnée, le mot de passe composé n’expire jamais.

La stratégie de mot de passe composé est vérifiée dans l’utilitaire d’administration lors de l’inscription de l’utilisateur et également lorsque ce dernier modifie le mot de passe composé à partir de l’utilitaire client.

Les deux paramètres utilisateur relatifs au mot de passe précédent sont redéfinis et l’historique du mot de passe composé est supprimé.

Les règles générales suivantes s’appliquent au mot de passe composé UVM :

Longueur

Le mot de passe composé peut contenir jusqu’à 256 caractères.

Caractères

Le mot de passe composé peut contenir toute combinaison des caractères que le clavier permet de taper, y compris les espaces et les caractères non alphanumériques.

Propriétés

Le mot de passe composé UVM est différent du mot de passe que vous pouvez utiliser pour ouvrir une session sur un système d’exploitation.

Il peut être utilisé avec d’autres dispositifs d’authentification, tels que les capteurs à empreintes digitales UVM.

Tentatives infructueuses

Si vous tapez plusieurs fois un mot de passe composé UVM incorrect durant une session, l’ordinateur met à exécution une série de périodes de suspension anti-martèlement (qui vous empêchent de tenter de vous connecter de façon incessante).

Ces périodes sont indiquées dans la section suivante.

Nombre d’échecs sur les systèmes utilisant le TPM national

Le tableau suivant indique la durée des périodes anti-martèlement définies pour un système TPM national :

Tentatives

7-13

14-20

21-27

28-34

35-41

42-48

49-55

Période de suspension lors du prochain échec

4 secondes chacune

8 secondes chacune

16 secondes chacune

32 secondes chacune

64 secondes chacune (1,07 minute chacune)

128 secondes chacune (2,13 minutes chacune)

256 secondes chacune (4,27 minutes chacune)

Annexe B.

Informations relatives aux mots de passe et mots de passe composés

95

Tentatives

56-62

63-69

70-76

77-83

84-90

91-97

98-104

105-111

112-118

Période de suspension lors du prochain échec

512 secondes chacune (8,53 minutes chacune)

1024 secondes chacune (17,07 minutes chacune)

2048 secondes chacune (34,13 minutes chacune)

68,26 minutes chacune (1,14 heure chacune)

136,52 minutes chacune (2,28 heures chacune)

273,04 minutes chacune (4,55 heures chacune)

546,08 minutes chacune (9,1 heures chacune)

1092,16 minutes chacune (18,2 heures chacune)

2184,32 minutes chacune (36,4 heures chacune)

Les systèmes TPM nationaux ne font pas de distinction entre les mots de passe composés utilisateur et le mot de passe administrateur.

Toute authentification par le biais de la puce de sécurité intégrée IBM répond à la même stratégie.

Il n’existe pas de délai d’attente maximal.

Chaque échec déclenche la période de suspension indiquée ci-dessus.

Les périodes de suspension anti-martèlement ne prennent pas fin à la 118ème tentative ; elles continuent plutôt indéfiniment de la manière illustrée ci-dessus.

Nombre d’échecs sur les systèmes utilisant le TPM Atmel

Le tableau suivant indique la durée des périodes anti-martèlement définies pour un système TPM Atmel :

Tentatives

79

95

111

127

143

15

31

47

63

Période de suspension lors du prochain échec

1,1 minute

2,2 minutes

4,4 minutes

8,8 minutes

17,6 minutes

35,2 minutes

1,2 heure

2,3 heures

4,7 heures

Les systèmes TPM Atmel ne font pas de distinction entre les mots de passe composés utilisateur et le mot de passe administrateur.

Toute authentification par le biais de la puce de sécurité intégrée IBM répond à la même stratégie.

La période de suspension maximale est de 4,7 heures.

Les systèmes TPM Atmel ne peuvent appliquer de suspension supérieure à 4,7 heures.

Réinitialisation d’un mot de passe composé

Si un utilisateur oublie son mot de passe composé, l’administrateur peut l’autoriser

à réinitialiser son mot de passe.

96

Logiciel Client Security version 5.4

Guide d’administration et d’utilisation

Réinitialisation à distance d’un mot de passe composé

Pour réinitialiser un mot de passe à distance, procédez comme suit : v

Administrateurs

Un administrateur distant doit exécuter la procédure suivante :

1.

Créer un nouveau mot de passe unique et le communiquer à l’utilisateur.

2.

Envoyer un fichier de données à l’utilisateur.

Le fichier de données peut être envoyé à l’utilisateur par courrier

électronique, copié sur un support amovible tel qu’une disquette ou copié directement dans le fichier d’archive de l’utilisateur (en supposant que l’utilisateur puisse accéder à ce système).

Ce fichier chiffré permet d’effectuer une vérification par comparaison avec le nouveau mot de passe unique.

v

Utilisateurs

L’utilisateur doit exécuter la procédure suivante :

1.

Ouvrir une session sur l’ordinateur.

2.

Lorsqu’il est invité à entrer son mot de passe composé, cocher la case

″J’ai oublié mon mot de passe composé

″.

3.

Entrer le mot de passe unique communiqué par l’administrateur distant et fournir l’emplacement du fichier envoyé par l’administrateur.

Une fois qu’UVM a vérifié que les informations contenues dans le fichier correspondaient au mot de passe fourni, l’utilisateur se voit accorder l’accès.

Il est alors immédiatement invité à modifier son mot de passe composé.

Voici la méthode recommandée pour réinitialiser un mot de passe composé en cas d’oubli.

Réinitialisation manuelle d’un mot de passe composé

Si l’administrateur peut utiliser directement le système de l’utilisateur ayant oublié son mot de passe, il peut ouvrir une session sur ce système en tant qu’administrateur, fournir la clé privée administrateur à l’utilitaire d’administration et modifier manuellement le mot de passe composé de l’utilisateur.

Il n’est pas nécessaire que l’administrateur connaisse l’ancien mot de passe composé de l’utilisateur pour effectuer une modification de ce mot de passe.

Annexe B.

Informations relatives aux mots de passe et mots de passe composés

97

98

Logiciel Client Security version 5.4

Guide d’administration et d’utilisation