Bonjour tout le monde,
 
 
 
Je dois prochainement changer la stratégie de complexité des mots de passe de mon domaine, par contre j'ai un gros doute, est-ce que ce changement obligera à changer immédiatement les mots de passe ?
Ou alors il faudra juste respecter la nouvelle complexité au renouvellement naturel du poste (60 jours chez nous).
 
 
Avant d'envoyer le mail à tout le monde, je voudrai être sur que ça ne vas pas couper tout le monde (beaucoup de gens en extérieur qui ne pourront pas changer leur mdp).
 
 
Merci pour vos retours, et bonne journée à tous

prochain changement ouais (enfin sauf si tu réduit l'age maximum du mdp à 1 jour )

Non de 60 à 90 jours donc ça devrait aller

+1
Je suis en plein dans le sujet moi aussi.

nous ça va être :
 
Longueur minimum : 10 caractères  
Expiration : 90 jours
Historique : 24  ( impossible de réutiliser les 24 derniers mots de passe)
Complexité : oui (au moins une majuscule, un chiffre, un caractère spécial)
Verrouillage de compte : oui, pendant 5 min après 5 échecs

24 password d'historique, c'est pas un peu beaucoup ?
Ca veut dire qu'en gros, avec les 90j d'expiration, il pourront réutiliser leur premier mot de passe dans environ 6 ans.
 
La remarque que je me suis faite est d'essayer de trouver un compromis entre les exigence de sécurité et la capacité des utilisateurs à retenir un mot de passe, même si c'est eux qui l'ont créé.
Déjà que certains me demandent de leur rappeler leur code PIN à 4 chiffres, je crains que leur faire inventer et retenir un nouveau mot de passe complexe régulièrement avec un gros historique ne les perturbe trop. C'est un coup à avoir des post'it sur les écrans.

C'est notre responsable sécu et maison mère qui impose ça , effectivement ça fait beaucoup je trouve aussi.

C'est nul comme politique

Par rapport à quel critère ?

historique, longueur minimum, durée du mdp et lockout

Pourquoi quel est le soucis sur ce sujet ?

Parce que c'est le meilleur moyen pour que les gens utilisent des suites logiques sans que ça protège quoi que ce soit de plus.
Genre Winter2017, Spring2017, Summer2017, Automn2017, Winter2018 etc.
Le vérouillage de 5 minutes, pareil ça sert à rien, le mec légitime sera emmerdé et appelera qd même le HD pour qu'on lui débloque son compte, le hacker sera à peine ralenti. Soit t'en met pas, soit tu met 30minutes/1h mais 5 minutes tu gagnes sur aucun tableau

Oui je pense aussi que les gens vont partir sur du mot de passe simple, d'ailleurs moi le premier sauf pour les serveurs où comptes admin où j'ai mon Keepass, sinon je prends des choses que je peux retenir.
 
Après pour les 5min je suis pas d'accord, car sur un bruteforce , 5 essai ça va vite à faire, et donc être bloqué toutes les 2 ou 3s pendant 5min .... ça laisse 288 secondes pour faire du brute force sur 24h, tu vas pas loin avec ça (ou avoir de la chance de trouver rapidement).
 
 

Je suis de l'avis de Je@nb pour le lockout. Les users ils t'appelleront dès que le compte est verrouillé que ce soit 5 ou 30min.

J'ai déjà essayé de mettre ça en place.
Alors on a des mots de passes complexes, mais on ne demande pas un changement au bout d'un certain temps.
Sinon ça finit en post-it sur le bureau.

Malheureusement compliqué de trouver le compromis entre un truc assez solide et que les gens arrivent à revenir sans devoir le noter quelque part.
 
Ou sinon c'est sur des systèmes avec RFID etc...