Décrire les fonctionnalités de gestion et de protection des mots de passe
La protection par mot de passe est une fonctionnalité de Microsoft Entra ID qui réduit le risque que des utilisateurs configurent des mots de passe faibles. La protection par mot de passe de Microsoft Entra détecte et bloque les mots de passe faibles connus et leurs variantes, mais peut aussi bloquer d’autres termes faibles propres à votre organisation.
Avec la protection par mot de passe de Microsoft Entra, des listes globales de mots de passe interdits par défaut sont appliquées automatiquement à tous les utilisateurs dans un locataire Microsoft Entra. Pour répondre aux besoins de votre entreprise et de votre sécurité, vous pouvez définir des entrées dans une liste personnalisée de mots de passe interdits. Lorsque les utilisateurs modifient ou réinitialisent leurs mots de passe, ces listes sont vérifiées pour imposer l’utilisation de mots de passe forts.
Vous devez utiliser des fonctionnalités supplémentaires comme l’authentification multifacteur et ne pas simplement vous contenter des mots de passe forts imposés par la fonctionnalité de protection par mot de passe de Microsoft Entra.
Liste globale de mots de passe interdits
Une liste de mots de passe interdits avec des mots de passe faibles connus est automatiquement mise à jour et appliquée par Microsoft. Cette liste est gérée par l’équipe Microsoft Entra ID Protection, qui analyse les données de télémétrie de sécurité pour rechercher les mots de passe faibles ou compromis. Les exemples de mots de passe qui peuvent être bloqués sont P@$$w0rd ou Passw0rd1 et toutes les variantes.
Les variantes sont créées à l’aide d’un algorithme qui transpose la casse du texte et les lettres en nombres tels que « 1 » en « l ». Les variations de Password1 peuvent inclure Passw0rd1, Pass0rd1 et autres. Ces mots de passe sont ensuite vérifiés et ajoutés à la liste globale des mots de passe interdits. La liste globale des mots de passe interdits est appliquée automatiquement à tous les utilisateurs d’un locataire Microsoft Entra et ne peut pas être désactivée.
Si un utilisateur de Microsoft Entra tente de définir son mot de passe sur l’un de ces mots de passe faibles, il reçoit une notification lui demandant de choisir un mot de passe plus sécurisé. La liste d’interdiction globale provient d’attaques réelles par pulvérisation de mot de passe. Cette approche améliore la sécurité et l’efficacité globales, et l’algorithme de validation de mot de passe utilise aussi des techniques de correspondances approximatives intelligentes visant à rechercher des chaînes qui correspondent approximativement à un modèle. La protection par mot de passe de Microsoft Entra détecte et bloque efficacement des millions de mots de passe faibles connus et empêche leur utilisation dans votre entreprise.
Listes personnalisées de mots de passe interdits
Les administrateurs peuvent également créer des listes de mots de passe interdits personnalisés pour prendre en charge des besoins spécifiques en matière de sécurité. La liste de mots de passe interdits personnalisée concerne les mots de passe, tels que le nom ou l’emplacement de l’organisation. Les mots de passe ajoutés à la liste personnalisée de mots de passe interdits doivent être axés sur des termes propres à l’organisation, comme :
- Noms de marques
- Noms de produits
- Lieux, par exemple le siège social de l’entreprise
- Termes internes spécifiques à l’entreprise
- Abréviations ayant une signification spécifique dans l’entreprise
La liste personnalisée de mots de passe interdits est associée à la liste globale des mots de passe interdits pour bloquer les variantes de tous les mots de passe concernés.
Les listes de mots de passe interdits sont une fonctionnalité des licences P1 et P2 de Microsoft Entra ID.
Protection contre la pulvérisation de mot de passe
La protection par mot de passe de Microsoft Entra vous aide à vous protéger contre les attaques par pulvérisation de mot de passe. La majorité des attaques par pulvérisation de mots de passe ne soumettent qu’un petit nombre des mots de passe les plus faibles connus à chacun des comptes d’une entreprise. Cette technique permet à l’attaquant de repérer rapidement un compte facile à compromettre et d’éviter les seuils de détection potentiels.
La protection par mot de passe de Microsoft Entra bloque efficacement tous les mots de passe faibles connus susceptibles d’être utilisés dans des attaques par pulvérisation de mot de passe. Cette protection est basée sur les données de télémétrie de sécurité du monde réel provenant de Microsoft Entra ID, qui sont utilisées pour créer la liste globale de mots de passe interdits.
Sécurité hybride
Pour une sécurité hybride, les administrateurs peuvent intégrer la protection par mot de passe de Microsoft Entra à un environnement Active Directory local. Un composant installé dans l’environnement local reçoit la liste globale de mots de passe interdits et les stratégies de protection par mot de passe personnalisées de Microsoft Entra ID. Les contrôleurs de domaine les utilisent ensuite pour traiter les événements de modification de mot de passe. Cette approche hybride permet de garantir que quand un utilisateur change son mot de passe, la protection par mot de passe de Microsoft Entra est appliquée.
Bien que la protection par mot de passe améliore la force des mots de passe, vous devez néanmoins toujours utiliser des fonctionnalités correspondant aux bonnes pratiques, comme l’authentification multifacteur. Les mots de passe seuls, même les plus forts, ne sont pas aussi sécurisés que plusieurs couches de sécurité.