Partager via


Techniques d’atténuation des menaces

Il existe plusieurs techniques d’atténuation des menaces que vous pouvez utiliser pour améliorer les mots de passe sécurisés. Ces techniques sont implémentées à l’aide d’une ou plusieurs des quatre technologies principales suivantes.

Technologie Description
Cryptoapi CryptoAPI fournit un ensemble de fonctions qui vous aident à appliquer des routines de chiffrement aux entités cibles. CryptoAPI peut fournir des hachages, des synthèses, du chiffrement et du déchiffrement, pour mentionner sa fonctionnalité principale. CryptoAPI a également d’autres fonctionnalités. Pour en savoir plus sur le chiffrement et le CryptoAPI, consultez Cryptography Essentials.
Listes de contrôle d'accès Une liste de contrôle d’accès (ACL) est une liste de protections de sécurité qui s’applique à un objet. Un objet peut être un fichier, un processus, un événement ou tout autre élément qui a un descripteur de sécurité. Pour plus d’informations sur les listes de contrôle d’accès, consultez Access Control listes (ACL).
API de protection des données L’API de protection des données (DPAPI) fournit les quatre fonctions suivantes que vous utilisez pour chiffrer et déchiffrer les données sensibles : CryptProtectData, CryptUnprotectData, CryptProtectMemory et CryptUnprotectMemory.
Noms d’utilisateur et mots de passe stockés Stockage fonctionnalité qui permet de gérer les mots de passe des utilisateurs et d’autres informations d’identification, telles que les clés privées, plus faciles, plus cohérentes et plus sécurisées. Pour plus d’informations sur cette fonctionnalité, consultez CredUIPromptForCredentials.

 

Ces technologies ne sont pas disponibles sur tous les systèmes d’exploitation. Par conséquent, la mesure dans laquelle la sécurité peut être améliorée dépend des systèmes d’exploitation impliqués. Voici les technologies disponibles dans chaque système d’exploitation.

Système d’exploitation Technologie
Windows Server 2003 et Windows XP
  • Cryptoapi
  • Listes de contrôle d'accès
  • API de protection des données
  • Noms d’utilisateur et mots de passe stockés
Windows 2000

 

Les techniques d’atténuation des menaces suivantes utilisent une ou plusieurs des quatre technologies. Les techniques qui nécessitent l’utilisation de technologies qui ne sont pas incluses dans le système d’exploitation ne peuvent pas être utilisées.

Obtention de mots de passe à partir de l’utilisateur

Lorsque vous autorisez l’utilisateur à configurer un mot de passe, forcez l’utilisation de mots de passe forts. Par exemple, exiger que les mots de passe soient d’une longueur minimale telle que huit caractères ou plus. Les mots de passe doivent également être requis pour inclure des lettres majuscules et minuscules, des chiffres et d’autres caractères clavier tels que le signe dollar ($), le point d’exclamation (!), ou supérieur à (>).

Après avoir obtenu un mot de passe, utilisez-le rapidement (en utilisant le moins de code possible), puis effacez tous les vestiges du mot de passe. Cela réduit le temps disponible pour un intrus pour « intercepter » le mot de passe. Le compromis avec cette technique est la fréquence avec laquelle le mot de passe doit être récupéré à partir de l’utilisateur; cependant, le principe devrait être employé autant que possible. Pour plus d’informations sur la façon d’obtenir correctement des mots de passe, consultez Demander à l’utilisateur d’informations d’identification.

Évitez de fournir les options d’interface utilisateur « mémoriser mon mot de passe ». Souvent, les utilisateurs demandent à avoir cette option. Si vous devez le fournir, vérifiez au minimum que le mot de passe est enregistré de manière sécurisée. Pour plus d’informations, consultez la section Stockage des mots de passe, plus loin dans cette rubrique.

Limitez les tentatives d’entrée de mot de passe. Après un certain nombre d’essais sans succès, verrouillez l’utilisateur pendant une certaine durée. Si vous le souhaitez, allongez le temps de réponse pour chaque essai sur un maximum. Cette technique vise à vaincre une attaque de deviner.

Stockage des mots de passe

Ne stockez jamais les mots de passe en texte clair (non chiffrés). Le chiffrement des mots de passe augmente considérablement leur sécurité. Pour plus d’informations sur le stockage de mots de passe chiffrés, consultez CryptProtectData. Pour plus d’informations sur le chiffrement des mots de passe en mémoire, consultez CryptProtectMemory. Stockez les mots de passe dans autant d’emplacements que possible. Plus un mot de passe est stocké, plus il est possible qu’un intrus puisse le trouver. Ne stockez jamais les mots de passe dans une page web ou dans un fichier web. Le stockage des mots de passe dans une page web ou dans un fichier web leur permet d’être facilement compromis.

Une fois que vous avez chiffré un mot de passe et l’avoir stocké, utilisez des listes de contrôle d’accès sécurisées pour limiter l’accès au fichier. Vous pouvez également stocker des mots de passe et des clés de chiffrement sur des appareils amovibles. Le stockage des mots de passe et des clés de chiffrement sur un support amovible, tel qu’une carte à puce, permet de créer un système plus sécurisé. Une fois qu’un mot de passe est récupéré pour une session donnée, la carte peut être supprimée, ce qui supprime la possibilité qu’un intrus puisse y accéder.