Recommandations en matière de stratégie de mot de passe pour Microsoft 365

Découvrez tout notre contenu d'aide et d’apprentissage destiné aux petites entreprises.

En tant qu’administrateur d’une organisation, vous êtes chargé de la configuration d'une stratégie de mot de passe pour les utilisateurs au sein de votre organisation. La configuration d'une stratégie de mot de passe peut être complexe et déconcertante. Cet article vous fournit des recommandations pour renforcer la sécurité de votre organisation contre les attaques par mot de passe.

Les comptes Microsoft cloud uniquement ont une stratégie de mot de passe prédéfinie qui ne peut pas être modifiée. Les seuls éléments que vous pouvez modifier sont le nombre de jours avant l’expiration d’un mot de passe et l’expiration ou non des mots de passe.

Pour déterminer la fréquence d’expiration des mots de passe Microsoft 365 dans votre organisation, consultez la page Définir une stratégie d’expiration de mot de passe pour Microsoft 365.

Pour obtenir plus d’informations sur les mots de passe Microsoft 365, consultez :

Réinitialiser les mots de passe (article)

Définir le mot de passe d’un utilisateur de façon à ce qu’il n’expire jamais (article)

Autoriser les utilisateurs à réinitialiser leur mot de passe (article)

Renvoyer le mot de passe d’un utilisateur (article)

Il est temps de repenser les modifications de mot de passe obligatoires.

Présentation des recommandations concernant les mots de passe

Les pratiques pour mot de passe recommandées sont classées en plusieurs catégories :

• Résistance aux attaques courantes il s’agit du choix de l’emplacement dans lequel les utilisateurs entrent les mots de passe (les appareils connus et fiables ayant une bonne détection de programmes malveillants, sites validés) et le choix du mot de passe à adopter (longueur et unicité).

• Contenir les attaques fructueuses la résistance aux attaques réussies de pirates informatiques consiste à limiter l’exposition à un service précis ou à empêcher les dommages purs et simples, si le mot de passe d’un utilisateur est volé. Par exemple, s’assurer qu’une violation de vos informations d’identification de réseaux sociaux ne rende pas votre compte bancaire vulnérable, ou ne pas laisser un compte peu protégé accepter des liens de réinitialisation pour un compte important.

• Comprendre la nature humaine de nombreuses pratiques valides en matière de mot de passe échouent face à des comportements humains naturels. La compréhension de la nature humaine est essentielle, car la recherche montre que presque toutes les règles que vous imposez à vos utilisateurs entraînent un affaiblissement de la qualité du mot de passe. Les exigences de longueur, de caractères spéciaux et de modification du mot de passe entraînent une normalisation des mots de passe, ce qui permet aux pirates informatiques de deviner ou de déchiffrer les mots de passe plus facilement.

Conseils relatifs aux mots de passe pour les administrateurs

La diversité des mots de passe représente l’objectif principal d’un système de mot de passe sécurisé. Votre stratégie de mot de doit contenir de nombreux mots de passe différents qui sont de plus difficiles à deviner. Voici quelques recommandations pour garantir la sécurité de votre organisation.

• Appliquer une exigence de longueur minimale de huit caractères

• N'exigez pas de composition de caractères. Par exemple, *&(^%$

• Ne demandez pas la réinitialisation de mot de passe régulière obligatoire pour les comptes utilisateur

• Interdisez les mots de passe communs pour empêcher les mots de passe vulnérables d'envahir votre système

• Informer vos utilisateurs de ne pas réutiliser leurs mots de passe organization à des fins non professionnelles

• Renforcer l'Inscription des utilisateurs au service d'authentification multifacteur

• Défis liés à l’authentification multifacteur basée sur les risques

Conseils liés aux mots de passe pour vos utilisateurs

Voici quelques conseils sur les mots de passe destinés aux utilisateurs de votre organisation. Assurez-vous d'informer vos utilisateurs sur ces recommandations et d'appliquer les stratégies de mot de passe recommandées au niveau de l’organisation.

• N’utilisez pas de mot de passe identique ou similaire à celui utilisé sur d’autres sites web

• N’utilisez pas de mot unique (par exemple, motdepasseou une expression couramment utilisée de typejetaime)

• Rendre les mots de passe difficiles à deviner, même par des personnes qui en savent beaucoup sur vous, comme les noms et les anniversaires de vos amis et de votre famille, vos groupes préférés et les expressions que vous aimez utiliser

Approches courantes et leurs répercussions négatives

Ce sont quelques-unes des pratiques de gestion de mot de passe les plus couramment utilisées, mais la recherche nous avertit de leurs impacts négatifs.

Exigences d’expiration du mot de passe pour les utilisateurs

Les exigences d’expiration du mot de passe font plus de mal que de bien, car elles font en sorte que les utilisateurs sélectionnent des mots de passe prévisibles, composés de mots séquentiels et de nombres étroitement liés les uns aux autres. Dans ce cas, le mot de passe suivant peut être déterminé en se basant sur le mot de passe précédent. Les exigences d’expiration de mot de passe n’offrent aucun avantage en matière de contenu, car les cybercriminels utilisent presque toujours les informations d’identification dès qu’ils les compromettent.

Exigences relatives à la longueur minimale du mot de passe

Pour encourager les utilisateurs à réfléchir à un mot de passe unique, nous vous recommandons de conserver une longueur minimale raisonnable de huit caractères.

Nécessité d’utiliser plusieurs jeux de caractères

L'exigence de complexité de mots de passe permet de réduire l’espace de clé et d'amener les utilisateurs à agir de façon prévisible, faisant ainsi plus de mal que de bien. La plupart des systèmes appliquent des exigences de complexité des mots de passe d'un certain niveau. Par exemple, les mots de passe doivent contenir des caractères faisant partie des trois catégories suivantes :

• caractères majuscules

• caractères minuscules

• caractères non alphanumériques

La plupart des gens utilisent des modèles similaires. Par exemple, une lettre majuscule dans la première position, un symbole dans la dernière et un nombre dans les 2 derniers. Les cybercriminels étant conscients de ces modèles, ils exécutent leurs attaques par dictionnaire à l’aide des substitutions les plus courantes, « $ » pour « s », « @ » pour « a », « 1 » pour « l ». Le fait de contraindre vos utilisateurs à choisir une combinaison de majuscules, minuscules et caractères spéciaux a une incidence négative. Certaines exigences de complexité empêchent également les utilisateurs d’utiliser des mots de passe sécurisés et mémorables, et de les contraint à faire usage de mots de passe moins sécurisés et moins marquants.

Modèles performants

En revanche, voici quelques recommandations favorisant une variété des mots de passe.

Interdire les mots de passe courants

L’exigence de mot de passe la plus importante à imposer à vos utilisateurs lors de la création de mots de passe consiste à interdire l’utilisation de mots de passe communs afin de limiter la vulnérabilité de votre organisation aux attaques de mot de passe par force brute. Les mots de passe utilisateur courants incluent : abcdefg, motdepasse et singe.

Former les utilisateurs à ne pas réutiliser les mots de passe de l’organisation ailleurs

L’un des messages les plus importants à passer aux utilisateurs de votre organisation consiste à ne pas réutiliser leur mot de passe d’organisation ailleurs. L’utilisation de mots de passe organization dans les sites web externes augmente considérablement la probabilité que les cybercriminels puissent compromettre ces mots de passe.

Imposer l'inscription avec service d'authentification multifacteur

Veillez à ce que les utilisateurs mettent à jour leurs informations de sécurité et de contact, telles que l'adresse e-mail secondaire, le numéro de téléphone ou l'appareil enregistré pour les services de notifications Push afin qu'ils puissent répondre aux questions challenges et être informés des évènements de sécurité. Les informations de contact et de sécurité mises à jour permettent aux utilisateurs de vérifier leur identité en cas d'oubli de leur mot de passe, ou si un autre utilisateur tente de prendre le contrôle de leur compte. Il fournit également un canal de notification hors bande pour les événements de sécurité tels que les tentatives de connexion ou les mots de passe modifiés.

Pour plus d'informations, voir Configurer l'authentification multifacteur.

Activer l’authentification multifacteur basée sur les risques

L’authentification multifacteur basée sur les risques garantit que lorsque notre système détecte une activité suspecte, il peut mettre l’utilisateur au défi de s’assurer qu’il est le propriétaire légitime du compte.

Étapes suivantes

Vous voulez en savoir plus sur la gestion des mots de passe ? Voici quelques lectures recommandées :

• Oubliez les mots de passe, passez au sans mot de passe

• Conseils sur les mots de passe Microsoft

• Les mots de passe web sont-ils performants ?

• Portefeuilles de mots de passe et utilisateur à effort limité

• Prévenir les mots de passe vulnérables en lisant dans les pensées de l'utilisateur

• Choix de mots de passe sécurisés

• L'heure est venue de reconsidérer les changement de mots de passe obligatoires

Contenu associé

Réinitialiser les mots de passe (article)
Définir le mot de passe d’un utilisateur de façon à ce qu’il n’expire jamais (article)
Autoriser les utilisateurs à réinitialiser leur mot de passe (article)
Renvoyer le mot de passe d’un utilisateur – Aide de l’administrateur (article)