Archives du mot-clef complexité de mots de passe

Gérer la complexité des mots de passe : solution ou problème?

L’ introduction des règles de complexité des mots de passe utilisées dans une organisation, évoque souvent des réactions ambigües chez les responsables informatique ainsi que chez les administrateurs systèmes. D’un coté, une réaction enthousiaste quant à l’amélioration de la sécurité et la prévention des accès non autorisés, mais d’une autre part la peur que cela génère trop de problèmes pour les utilisateurs en causant par exemple une augmentation forte du nombre d’appels au support informatique. On ne parle même pas des nombreux ‘post-it’ sous les claviers, ou sur l’écran que les utilisateurs utilisent pour ‘se rappeler’.

La peur qu’un nombre d’utilisateurs ne soient pas capable de se rappeler d’un mot de passe complexe est d’actualité.

Surtout dans les organisations dans des secteurs tels que ceux de la santé où le personnel a (heureusement) plus de ‘feeling’ pour les patients que pour les PC, l’introduction de règles de complexité pour les mots de passe est difficile. Les collaborateurs veulent avoir la possibilité de se connecter sur les systemes sans que cela soit fastidieux et préfèrent des mots de passe facile à retenir. Cependant, les règles de conformité et sécurité acceptent de moins en moins des mots de passe ‘faciles’…

Plus de demandes vers le support informatique (helpdesk)
Si après une période de vacances on voit déjà une augmentation du nombre de demandes concernant des réinitialisations de mots de passe, après l’introduction de règles de complexité ceci représente aussi un risque réel. Des mots de passe complexes sont beaucoup plus difficiles à mémoriser comparé au nom de son animal de compagnie, et surtout après des vacances décontractantes, on oublie plus facilement son mot de passe. Les fils d’attente et un grand nombre d’appels au helpdesk informatique en sont le résultat.

Pour faire face à cette problématique Tools4ever a développé deux produits intéressants: le reset de mots de passe en mode libre service (SSRPM – Self Service Reset Password Management) et Password Complexity Manager (PCM) .

Self Service Reset Password Management (SSRPM) et Password Complexity manager (PCM)
Grace à SSRPM il est possible qu’un utilisateur puisse gérer la réinitialisation de son mot de passe lui-même, ou de débloquer son compte, sans qu’il ait besoin de contacter le support informatique ou le service desk. Sur l’écran d’authentification traditionnel apparait un nouveau bouton permettant de  demander le reset de mot de passe. Apres avoir appuyé sur ce bouton, l’utilisateur peut lui-même réinitialiser ou débloquer son mot de passe après avoir répondu à quelques questions personnelles pour son identification. Combiné avec PCM (Password Complexity Manager) l’utilisateur reçoit une aide visuelle pour se conformer aux règles de complexité. Les règles de complexité apparaissent clairement à l’écran et sont automatiquement cochées en vert des que l’utilisateur est en conformité avec la règle de complexité.
SSRPM permet alors aux utilisateurs de rapidement et facilement reprendre leur travail même après des vacances un peu trop décontractantes. Le nombre d’appels vers le support informatique est considérablement réduit.
Comme quoi la complexité des mots de passe peut être une solution pour chacun !

Pour plus d’informations sur SSRPM, cliquez-ici.
Plus d’informations sur PCM, cliquez-ici.

Définir les bonnes questions pour la réinitialisation des mots de passe

Avec des outils comme SSRPM (Self Service Reset Password Manager) il est possible de déléguer les demandes de réinitialisations de mot de passe aux utilisateurs eux-mêmes. Si l’utilisateur est bloqué à cause d’un oubli de mot de passe, il suffit qu’il clique sur le bouton « j’ai oublié mon mot de passe » disponible depuis son écran de connexion et, après avoir répondu à quelques questions de sécurité, il peut lui-même réinitialiser son mot de passe.

Les avantages sont clairs :

  •     une réduction des appels vers le helpdesk
  •     une réduction des coûts de support
  •     une sécurité améliorée (comment votre helpdesk identifie l’appelant aujourd’hui?)

Mais quelles sont donc les bonnes questions de sécurité ? Comment créer une liste de questions à la fois sécurisantes et difficiles à deviner, et en même temps dont il serait facile de s’en rappeler…
Le site goodsecurityquestions.com (en anglais) vous donne quelques conseils et pistes concernant la création de ces questions de sécurité.

Quelques critères importants pour la définition de questions de sécurité :

  •     Difficile à deviner ou de trouver la réponse (par internet ou autres recherches: social spying) ???
  •     La réponse ne change pas avec le temps
  •     Facile à mémoriser
  •     La réponse doit être définitive et simple dans un format non ambigu

Depuis l’existence de Self Service Reset Password Manager, beaucoup d’entreprises utilisent l’outil afin de réduire les appels vers le support informatique. Lors de la création de questions de sécurité, il est toujours important de prendre en considération les aspects liés à la sécurité mais aussi liés à la facilité.

Voici quelques démarches qui ont été appliquées chez nos clients :
Les questions les plus pertinentes sont souvent celles liées au passé de l’utilisateur final, et ne changeant  pas avec le temps (et non : quelle est votre couleur préférée ?), pas de questions où la réponse peut avoir différents formats (heures, dates…), pas de questions où la réponse peut être partagée avec ses collègues (nom de votre chien…) ou des réponses qu’on peut trouver sur des réseaux sociaux (facebook etc.)

Quelques exemples :

  •     Quel est le nom de famille de votre premier patron ?
  •     Comment s’appelait votre premier animal de compagnie ?
  •     Quel est le prénom de l’aînée de vos nièces ?

Cliquez ici pour obtenir plus d’informations sur la réinitialisation des mots de passe en mode self service ou sur les bonnes pratiques pour définir des questions de sécurité.

Comment introduire des mots de passe complexes : une étape en 3 temps

La plupart des organisations et des départements informatique doivent mettre en place des règles de complexité des mots de passe. Mais instaurer des mots de passe complexes et qui doivent changer régulièrement n’est pas simple et peut provoquer une résistance de la part des utilisateurs finaux ou générer des appels inutiles au helpdesk. Voici trois outils simples pour vous permettre d’introduire des mots de passe complexes dans votre organisation :

1.    Mot de Passe en self service

De façon à réduire le nombre d’appels au Helpdesk concernant les mots de passe, il est impératif de rendre les utilisateurs autonomes pour tout ce qui concerne la gestion et la  récupération de leurs mots de passe.   Résultat : moins d’appels pour réinitialisation de mots de passe, un service 24h/24 et une sécurité renforcée.

SSRPM (Self Service Reset Password Manager) de TOOLS4EVER est un outil fiable qui permet la réinitialisation de mots de passe par le biais de questions sécurisées ou une  authentification SMS forte. (SSRPM + d’infos)

2.     Réduire le nombre de mots de passe de chaque utilisateur

Automatiquement, plus le nombre de leurs mots de passe requis sera important plus les utilisateurs seront opposés à une politique de mots de passe sécurisés. Introduisez un outil qui      permette de réduire le nombre des mots de passe voire un authentifiant unique.  Résultat : un nombre de mots de passe réduit = un confort accru pour les utilisateurs.

Avec des outils d’authentification unique tels que E-SSOM (Single Sign-on Manager) de TOOLS4EVER il est possible de réduire à une seule le nombre de combinaisons identifiant/mot de     passe en quelques jours. (E-SSOM + d’infos)

3.    Aider les utilisateurs à créer des mots de passe forts grâce à un assistant de gestion des mots de passe

De façon à ce que les utilisateurs ne développent pas de frustrations lorsqu’ils doivent créer des mots de passe forts, ils peuvent avoir besoin d’assistance. Un simple outil sous windows  peut les aider lorsqu’ils créent leur mot de passe en leur précisant les règles de complexité et en validant chaque étape.  Résultat  : Les utilisateurs peuvent créer instantanement des  mots de passe complexes sans risque de recevoir des messages d’erreur peu compréhensibles.

PCM (Password Complexity Manager) est un outil qui permet aux utilisateurs de créer des mots de passe complexes répondant aux règles internes des compagnies. Il est extrêmement convivial et s’adapte sans problème aux besoins de l’utilisateur. (PCM + d’infos).
Si vous avez d’autres questions concernant :

  •     Les mots de passe sécurises
  •     Les mots de passe de l’Active Directory
  •     La reinitialisation des mots de passe
  •     Les mots de passe en self service
  •     Les mots de passe complexes
  •     L’authentification unique
  •     La synchronisation des mots de passe

N’hésitez pas a nous contacter.