Si vous êtes client du Service cloud Azure AD de Microsoft ou Windows Server Active Directory, vous devrez penser à changer votre mot de passe. Adieu aux mots de passe faibles. L’outil empêche les utilisateurs de définir un mot de passe figurant dans une liste de 500 exemples de mots de passe les plus courants et les plus faciles à deviner, y compris environ un million de substitutions de caractères les plus fréquentes.
L’entreprise vient de sortir en avant-première un nouvel outil permettant de bloquer les attaques par brute forcing ou password spraying. Comme expliquent les experts de Sophos sur leur blog:
- Le brute forcing consiste à essayer beaucoup de mots de passe communs au niveau de chaque compte, jusqu’à trouver le bon, mais cette technique se heurte aux systèmes de mots de passe qui imposent des limites concernant le nombre de tentatives incorrectes pendant une période donnée.
- La pulvérisation de mot de passe ou password spraying tente, quant à elle, de coutourner la limitation ci-dessus, en essayant les mêmes mots de passe communs au niveau des comptes, mais à un rythme beaucoup plus lent, réduisant ainsi les risques d’être bloqué ou de se faire remarquer au cours de l’attaque.
Ainsi, pour éviter ces attaques, l’US Standards Body NIST a mis à jour ces conseils en matière de mots de passe en 2017, pour promouvoir l’approche utilisée par Azure AD Password Protection. «Il est recommandé que les mots de passe choisis par les utilisateurs soient comparés à une « liste noire », répertoriant les mots de passe inacceptables » affirment-ils.
Cependant, même de bons mots de passe peuvent devenir vulnérables s’ils ont été compromis lors d’une violation de données. Voilà pourquoi Microsoft a mis à disposition de ses utilisateurs un deuxième outil Azure appelé Smart Lockout. Un système de verrouillage qui utilise l’intelligence du cloud pour bloquer les acteurs malveillants qui tentent de deviner les mots de passe de vos utilisateurs. « Ce système intelligent peut reconnaître les connexions provenant de véritables utilisateurs et traite celles-ci différemment de celles en provenance de cybercriminels et d’autres sources inconnues » assurent dès Microsoft.
Dans ce sens, Microsoft fait un pas de plus pour finir avec les mots de passe faibles et remet en question si les mots de passe appartiendront bientôt au passé. N’oublions pas que le World Wide Web Consortium (W3C), l’organisation qui gère les standards du Web, a annoncé en avril la mise en place d’un nouveau modèle d’authentification basé sur biométrie et périphériques mobiles.
