Archives pour la catégorie Gestion des mots de passe

Solution : Gérer les mots de passe AS400 / iSeries / xSeries avec Windows Active Directory…

synchronisation password AD AS400

Problème

Plusieurs de nos clients nous ont sollicité notre expertise  afin d’optimiser la gestion de leurs mots de passe sur les systèmes IBM OS/400 / iSeries / xSeries. Le problème provenait du  fait que le système AS400 gérait les mots de passe Windows, alors que ces clients souhaitaient que ce soit Windows Active Directory qui soit maître pour la gestion des mots de passe AS400.

L’objectif était de dissocier les environnements Windows Active Directory et AS400 qui jusque-là étaient assez interdépendants.

Grâce à notre logiciel PSM (Password synchronisation Manager) et au connecteur AS400 intégré à notre logiciel de provisioning, nous avons pu réaliser cet ajustement et permettre ainsi à nos  clients d’atteindre leur objectif.

Résultats :

Désormais PSM détecte le changement d’un mot de passe au niveau de l’Active Directory et synchronise les systèmes AS400 avec le nouveau mot de passe pour l’utilisateur AS400 en question.

De ce fait, les environnements Windows et AS400 sont moins interdépendants (ce n’est plus l’AS400 qui pilote les mots de passe Windows), et l’utilisateur final n’a plus différents mots de passe à retenir et à gérer.

Synchro mot de passe AD et AS400

Effort :

Notre Consultant IAM a réussi à mettre en place cette solution en une journée seulement sur un environnement  comprenant 2000 utilisateurs. Cette journée inclut :

  • L’Installation du logiciel PSM (Password Synchronisation Manager),
  • La configuration de la synchronisation AD avec AS400,
  • Les Tests et la validation par le consultant.

Le client a rapidement validé le fonctionnement sur quelques utilisateurs avant de l’activer pour l’ensemble des utilisateurs finaux.

Options :

      • La solution PSM (Password Synchronisation Manager) peut également couvrir d’autres systèmes et synchroniser les mots de passe AD avec Oracle, SAP, Lotus Notes, SQL, et tout autre système permettant une gestion des mot de passe par une solution tierce (par API, Webservice, XML, script ou ODBC, etc)
      • Il est également possible de mettre en place une authentification unique grâce à notre solution SSO (Enterprise SSO Manager et WebSSO) de Tools4ever
      • Dans le cas où les règles de complexité de mot de passe ne seraient pas les mêmes d’un système ou d’une application à une autre, la stratégie de complexité des mots de passe pourrait être gérée avec PCM (Password Complexity Manager)
      • Self-Service des mots de passe (via une page web ou intégré dans la page de connexion windows

En savoir plus? Contactez-nous

Gérer la complexité des mots de passe : solution ou problème?

L’ introduction des règles de complexité des mots de passe utilisées dans une organisation, évoque souvent des réactions ambigües chez les responsables informatique ainsi que chez les administrateurs systèmes. D’un coté, une réaction enthousiaste quant à l’amélioration de la sécurité et la prévention des accès non autorisés, mais d’une autre part la peur que cela génère trop de problèmes pour les utilisateurs en causant par exemple une augmentation forte du nombre d’appels au support informatique. On ne parle même pas des nombreux ‘post-it’ sous les claviers, ou sur l’écran que les utilisateurs utilisent pour ‘se rappeler’.

La peur qu’un nombre d’utilisateurs ne soient pas capable de se rappeler d’un mot de passe complexe est d’actualité.

Surtout dans les organisations dans des secteurs tels que ceux de la santé où le personnel a (heureusement) plus de ‘feeling’ pour les patients que pour les PC, l’introduction de règles de complexité pour les mots de passe est difficile. Les collaborateurs veulent avoir la possibilité de se connecter sur les systemes sans que cela soit fastidieux et préfèrent des mots de passe facile à retenir. Cependant, les règles de conformité et sécurité acceptent de moins en moins des mots de passe ‘faciles’…

Plus de demandes vers le support informatique (helpdesk)
Si après une période de vacances on voit déjà une augmentation du nombre de demandes concernant des réinitialisations de mots de passe, après l’introduction de règles de complexité ceci représente aussi un risque réel. Des mots de passe complexes sont beaucoup plus difficiles à mémoriser comparé au nom de son animal de compagnie, et surtout après des vacances décontractantes, on oublie plus facilement son mot de passe. Les fils d’attente et un grand nombre d’appels au helpdesk informatique en sont le résultat.

Pour faire face à cette problématique Tools4ever a développé deux produits intéressants: le reset de mots de passe en mode libre service (SSRPM – Self Service Reset Password Management) et Password Complexity Manager (PCM) .

Self Service Reset Password Management (SSRPM) et Password Complexity manager (PCM)
Grace à SSRPM il est possible qu’un utilisateur puisse gérer la réinitialisation de son mot de passe lui-même, ou de débloquer son compte, sans qu’il ait besoin de contacter le support informatique ou le service desk. Sur l’écran d’authentification traditionnel apparait un nouveau bouton permettant de  demander le reset de mot de passe. Apres avoir appuyé sur ce bouton, l’utilisateur peut lui-même réinitialiser ou débloquer son mot de passe après avoir répondu à quelques questions personnelles pour son identification. Combiné avec PCM (Password Complexity Manager) l’utilisateur reçoit une aide visuelle pour se conformer aux règles de complexité. Les règles de complexité apparaissent clairement à l’écran et sont automatiquement cochées en vert des que l’utilisateur est en conformité avec la règle de complexité.
SSRPM permet alors aux utilisateurs de rapidement et facilement reprendre leur travail même après des vacances un peu trop décontractantes. Le nombre d’appels vers le support informatique est considérablement réduit.
Comme quoi la complexité des mots de passe peut être une solution pour chacun !

Pour plus d’informations sur SSRPM, cliquez-ici.
Plus d’informations sur PCM, cliquez-ici.

Evitez les accidents sur la route de l’Identity Management

Ne pas commencez un projet de Gestion des Identités et des Accès en étant pressé.

Gérer les identités ou les comptes utilisateurs dans le réseau devient un challenge de plus en plus grand pour les entreprises.
Les administrateurs système ne doivent plus seulement gérer des infrastructures de plus en plus complexe avec un grand nombre de changements dans les comptes utilisateurs (collaborateurs qui quittent l’entreprise, changent d’état civil, ou changent de service). Ils sont aussi les garants du respect de règles de conformité en matière de sécurité IT qui sont de plus en plus stricts, et qui nécessitent que toutes les actions liées à la gestion des comptes utilisateurs soient loggés, tracées.

En automatisant certaines tâches de gestion telles que « Créer utilisateur »,  « Supprimer utilisateur » ou « Réinitialiser Mot de Passe », une traçabilité peut être garantie. C’est l’un des avantages le plus pertinent des solutions de gestion des identités et des accès. Mais le gain de temps et la réduction des coûts jouent également un rôle. Les services responsables de l’administration du parc informatique se rendent compte de plus en plus de l’avantage d’automatiser les changements au niveau des comptes utilisateurs, mais bien souvent ils se lancent trop rapidement dans l’implémentation d’une (sorte de) solution de gestion des identités et des accès. Et quand cette décision est prise avec trop de précipitation, il y a un certain nombre de pièges classiques dans lesquels ils risquent de tomber.

Vider le bassin sans fermer le robinet…

Un des pièges est de choisir une solution d’ exporting/reporting pure pour satisfaire des besoins d’audit. L’auditeur demande une « vue centrale » des autorisations et des accès qui doivent être attribués selon des règles puis une autre correspondant aux privilèges qui sont réellement donnés aux utilisateurs finaux dans le réseau. Pour satisfaire cette demande le plus facilement, il est possible de faire un export périodique de toutes les autorisations par collaborateurs dans le réseau et de le comparer avec la configuration comme elle devrait être.

La liste avec des différences non acceptables (collaborateur ayant trop d’habilitations, collaborateur ayant quitté l’entreprise, collaborateur ayant une combinaison d’habilitations non cohérente) doit être ensuite corrigée manuellement dans le réseau. Le grand désavantage de cette méthode « rapide » est qu’à chaque fois la pollution réapparait et doit être de nouveau corrigée. Ainsi cette solution reviendrait à vider un bassin sans avoir prit soin de fermer avant le robinet. Une solution structurelle serait de faire en sorte que par des processus d’autoprovisioning, de gestion des accès par les rôles et de système de gestion de workflow, les différences non acceptables n’aient plus lieu.

Gestion des Accès basée sur les rôles (RBAC)

L’implémentation de la RBAC (Role Based Acces Control) amène rapidement vers ce piège classique : Beaucoup d’organisation ont pour but de réaliser un autoprovisioning qui supporte à 100% les rôles. C’est-à-dire que les comptes utilisateurs sont créés sur la base de rôles et poste qu’occupe un collaborateur dans l’organisation.

Ce ne pas pour rien que la RBAC est souvent appelé la PBAC (Person Based Acces Control)! Car dans la pratique, l’autoprovisioning basé sur des rôles ne peut pas couvrir toutes les instances.

Souvent, il y a autant de rôles et des postes dans l’organisation qu’il y a de collaborateurs ; ce qui entraine donc un nombre presque infini de rôles vis-à-vis des ressources informatiques. Créer et remplir la matrice des rôles et habilitations devient alors souvent un processus fastidieux, long et inefficace. Par la suite, si l’organisation change, fusionne ou se réorganise, le travail doit être recommencé à partir de zéro.

Le Collaborateur en place centrale

Un des autres pièges classiques est de ne pas donner une place centrale aux collaborateurs eux-mêmes ainsi qu’aux managers dans le processus d’IDM. Le manager sait exactement de quoi ses utilisateurs/collaborateurs ont besoin pour faire leur travail. Et le collaborateur lui-même est capable de dire de quoi il a besoin pour faire son travail. Pourquoi alors ne pas leur permettre de faire eux même des demandes via un système de self service avec un système de workflow ?

En conclusion : beaucoup d’organisations souhaitent implémenter d’une traite un environnement d’Identity Management complet. Bien que dans la pratique cela soit possible, un projet d’une telle envergure dure assez longtemps et les premiers vrais résultats sont visibles qu’après des mois et des mois de travail.
Souvent il est plus convenable d’attaquer le sujet par phases. Ceci donne la flexibilité et l’espace d’implémenter sa solutions d’Identity management pas à pas. Les investissements nécessaires sont proportionnels avec le type d’implémentation dans l’organisation et en quelques semaines, des résultats visibles peuvent déjà être réalisé à moindre coût. De tels résultats garantissent souvent une bonne acceptation de l’initiative dans l’organisation.

Essayez d’éviter les pièges classiques en n’entrant pas trop précipitamment dans un projet de Gestion des Identités. Etudiez les possibilités et prenez conscience que tout ne devrait pas être fait en une seule fois. Mieux vaut faire des étapes pour éviter l’accident sur la route de l’Identity Management.

Cliquez ici pour obtenir plus d’informations sur les avantages de la gestion des identités et des accès.

Définir les bonnes questions pour la réinitialisation des mots de passe

Avec des outils comme SSRPM (Self Service Reset Password Manager) il est possible de déléguer les demandes de réinitialisations de mot de passe aux utilisateurs eux-mêmes. Si l’utilisateur est bloqué à cause d’un oubli de mot de passe, il suffit qu’il clique sur le bouton « j’ai oublié mon mot de passe » disponible depuis son écran de connexion et, après avoir répondu à quelques questions de sécurité, il peut lui-même réinitialiser son mot de passe.

Les avantages sont clairs :

  •     une réduction des appels vers le helpdesk
  •     une réduction des coûts de support
  •     une sécurité améliorée (comment votre helpdesk identifie l’appelant aujourd’hui?)

Mais quelles sont donc les bonnes questions de sécurité ? Comment créer une liste de questions à la fois sécurisantes et difficiles à deviner, et en même temps dont il serait facile de s’en rappeler…
Le site goodsecurityquestions.com (en anglais) vous donne quelques conseils et pistes concernant la création de ces questions de sécurité.

Quelques critères importants pour la définition de questions de sécurité :

  •     Difficile à deviner ou de trouver la réponse (par internet ou autres recherches: social spying) ???
  •     La réponse ne change pas avec le temps
  •     Facile à mémoriser
  •     La réponse doit être définitive et simple dans un format non ambigu

Depuis l’existence de Self Service Reset Password Manager, beaucoup d’entreprises utilisent l’outil afin de réduire les appels vers le support informatique. Lors de la création de questions de sécurité, il est toujours important de prendre en considération les aspects liés à la sécurité mais aussi liés à la facilité.

Voici quelques démarches qui ont été appliquées chez nos clients :
Les questions les plus pertinentes sont souvent celles liées au passé de l’utilisateur final, et ne changeant  pas avec le temps (et non : quelle est votre couleur préférée ?), pas de questions où la réponse peut avoir différents formats (heures, dates…), pas de questions où la réponse peut être partagée avec ses collègues (nom de votre chien…) ou des réponses qu’on peut trouver sur des réseaux sociaux (facebook etc.)

Quelques exemples :

  •     Quel est le nom de famille de votre premier patron ?
  •     Comment s’appelait votre premier animal de compagnie ?
  •     Quel est le prénom de l’aînée de vos nièces ?

Cliquez ici pour obtenir plus d’informations sur la réinitialisation des mots de passe en mode self service ou sur les bonnes pratiques pour définir des questions de sécurité.

Authentification forte à deux facteurs

La réinitialisation des mots de passe en mode self-service a toujours été disponible avec l’outil SSRPM de Tools4ever. Le bouton « Mot de passe oublié… » sur l’écran de connexion de Windows ou l’interface Web permet aux utilisateurs finaux de réinitialiser leur mot de passe Active Directory à l’aide de quelques questions de sécurité simples et prédéfinies.

Même si SSRPM a été largement adopté dans les entreprises et les établissements d’enseignement, un mode d’authentification à deux facteurs a été demandé par beaucoup de nos clients.
Le 18 février dernier, Tools4ever a sorti un nouveau module de sécurité pour SSRPM qui ajoute la fonctionnalité d’authentification à deux facteurs par e-mail. L’authentification à deux facteurs (TFA ou 2FA) consiste à utiliser deux moyens indépendants de preuves pour confirmer l’identité d’une entité vis-à-vis d’une autre.

Lorsqu’un utilisateur se connecte sur le domaine Active Directory pour la première fois suite au déploiement SSRPM et qu’il répond à une question posée configurée par l’administrateur, il est également invité à fournir une adresse e-mail privée. Si cet utilisateur final vient ensuite à oublier son mot de passe, il lui suffit de répondre aux questions de sécurité. Toutefois, pour pouvoir atteindre la phase finale et soumettre une demande de nouveau mot de passe, il doit d’abord saisir le code PIN qui a été envoyé par courrier électronique à son adresse personnelle.

Ce scénario illustre les éléments de base de la plupart des systèmes d’authentification à deux facteurs, à savoir le concept de «quelque chose que vous avez » + « quelque chose que vous savez ».

L’authentification à deux facteurs sécurise déjà l’interface Web. Mais Tools4ever a l’intention d’étendre encore cette fonctionnalité en permettant la transmission du code PIN sur les téléphones mobiles par SMS. Surveillez cet espace pour de plus amples informations !

Cliquez ici pour en savoir plus sur SSRPM

Comment sont constitués les mots de passe ?

Découvrez comment une étude récente a révélé des éléments alarmants sur les risques en matière de sécurité dans les mots de passe des collaborateurs

Si je vous disais que moins de 1% des mots de passe utilisés aujourd’hui sont réellement complexes, vous y croiriez ? Et bien, c’est malheureusement la triste vérité. Un rapport récent montre que moins de 1% des mots de passe utilisés à l’heure actuelle sont de nature complexe. En fait, ce rapport décompose la manière dont les personnes fabriquent leurs mots de passe. À titre d’exemple :

  • 14% des mots de passe sont dérivés d’un nom de personne (JeanDupont)
  • 8% sont dérivés d’un nom de lieu, qui est le plus souvent le lieu de naissance ou de résidence de l’utilisateur (Bordeaux)
  • 14% sont purement numériques et dans certains cas, il s’agit d’une suite de chiffres (12345)
  • 25% sont des mots pris au hasard dans le dictionnaire (ordinateur)
  • Environ 8% sont dérivés d’une suite de touches du clavier, de syntagmes courts , de mots contenus dans l’adresse électronique, ou de mots répétés (respectivement : qsdf, monchatnoir, @apple, rougerouge)
  • Enfin, 31% des mots de passe n’ont pas pu être vérifiés au cours de l’étude

Ces informations sont alarmantes pour les administrateurs réseau et les responsables de la sécurité informatique dans tous les domaines d’activité. Même si les administrateurs système définissent généralement des règles de complexité pour la création des mots de passe, tous ne le font pas ; et ceux qui le font risquent néanmoins de constater que les collaborateurs utilisent des mots de passe faciles à identifier (par social engineering ou autre méthode de bruteforce) .

Pour enrayer les atteintes à la sécurité de leurs réseaux, les entreprises ont tout intérêt à envisager l’utilisation de solutions de gestion des identités. Il existe plusieurs solutions simples qu’elles peuvent implémenter pour aider à réduire le risque d’atteinte liés à la sécurité des mots de passe.

J’aimerais vous parler en peu de l’implémentation d’une solution nécessitant une authentification à deux niveaux. Cette pratique requiert de sécuriser l’identifiant principal en utilisant un badge ou l’aide de la biométrie. Au lieu de saisir un nom d’utilisateur et un mot de passe, l’utilisateur peut se connecter en présentant un badge au lecteur ou en utilisant l’identification biométrique, puis en saisissant un code PIN. La combinaison du badge (ou de l’identification biométrique) et du code PIN garantit une authentification forte car ce type d’authentification est basé sur quelque chose qui appartient à l’utilisateur (le badge ou la partie du corps à présenter au lecteur) et quelque chose dont il se souvient (le code PIN).

La solution E-SSOM (Enterprise Single Sign On Manager – gestionnaire d’authentification unique pour les entreprises) de Tools4ever supporte un large éventail de carte à puce du marché, tels que HID, Mifare, Biometrie, Gridtoken, ainsi que les dispositifs de proximité et les lecteurs RFID. De même, cette solution propose une intégration native avec le logiciel pilote du lecteur de badges et fait correspondre l’identité du badge avec les identifiants de connexion de l’utilisateur (nom d’utilisateur / mot de passe) dans Active Directory. Aucun logiciel supplémentaire n’est requis pour créer ces correspondances. Cette fonctionnalité garantit une connexion sûre et simple pour tous les utilisateurs.

Comment introduire des mots de passe complexes : une étape en 3 temps

La plupart des organisations et des départements informatique doivent mettre en place des règles de complexité des mots de passe. Mais instaurer des mots de passe complexes et qui doivent changer régulièrement n’est pas simple et peut provoquer une résistance de la part des utilisateurs finaux ou générer des appels inutiles au helpdesk. Voici trois outils simples pour vous permettre d’introduire des mots de passe complexes dans votre organisation :

1.    Mot de Passe en self service

De façon à réduire le nombre d’appels au Helpdesk concernant les mots de passe, il est impératif de rendre les utilisateurs autonomes pour tout ce qui concerne la gestion et la  récupération de leurs mots de passe.   Résultat : moins d’appels pour réinitialisation de mots de passe, un service 24h/24 et une sécurité renforcée.

SSRPM (Self Service Reset Password Manager) de TOOLS4EVER est un outil fiable qui permet la réinitialisation de mots de passe par le biais de questions sécurisées ou une  authentification SMS forte. (SSRPM + d’infos)

2.     Réduire le nombre de mots de passe de chaque utilisateur

Automatiquement, plus le nombre de leurs mots de passe requis sera important plus les utilisateurs seront opposés à une politique de mots de passe sécurisés. Introduisez un outil qui      permette de réduire le nombre des mots de passe voire un authentifiant unique.  Résultat : un nombre de mots de passe réduit = un confort accru pour les utilisateurs.

Avec des outils d’authentification unique tels que E-SSOM (Single Sign-on Manager) de TOOLS4EVER il est possible de réduire à une seule le nombre de combinaisons identifiant/mot de     passe en quelques jours. (E-SSOM + d’infos)

3.    Aider les utilisateurs à créer des mots de passe forts grâce à un assistant de gestion des mots de passe

De façon à ce que les utilisateurs ne développent pas de frustrations lorsqu’ils doivent créer des mots de passe forts, ils peuvent avoir besoin d’assistance. Un simple outil sous windows  peut les aider lorsqu’ils créent leur mot de passe en leur précisant les règles de complexité et en validant chaque étape.  Résultat  : Les utilisateurs peuvent créer instantanement des  mots de passe complexes sans risque de recevoir des messages d’erreur peu compréhensibles.

PCM (Password Complexity Manager) est un outil qui permet aux utilisateurs de créer des mots de passe complexes répondant aux règles internes des compagnies. Il est extrêmement convivial et s’adapte sans problème aux besoins de l’utilisateur. (PCM + d’infos).
Si vous avez d’autres questions concernant :

  •     Les mots de passe sécurises
  •     Les mots de passe de l’Active Directory
  •     La reinitialisation des mots de passe
  •     Les mots de passe en self service
  •     Les mots de passe complexes
  •     L’authentification unique
  •     La synchronisation des mots de passe

N’hésitez pas a nous contacter.