WebLog de Stéphane PAPP [MSFT]

Journal sur le web de Stéphane PAPP sur l'administration de systèmes.

Complexité des mots de passe : il faut passer à un autre niveau !

Blog - About

A propos du WebLog de Stéphane PAPP [MSFT]

Après près de 10 ans de conseil dans l'équipe française de Microsoft Consulting Services (MCS), j'ai rejoint l'équipe européenne de Customer Service and Support (CSS) comme ingénieur conseil grands comptes. Mon rôle consiste à délivrer du conseil proactif et réactif sur les logiciels de la gamme System Center (ConfigMgr et OpsMgr, principalement).
Je délivre de l'expertise technique associée aux méthodologies ITIL/MOF sous la forme d'atelier de type vérification de l'état de santé, évaluation des risques, revues de supportabilité, cours magistraux.
Si vous êtes intéressés pour avoir un contact Microsoft dédié pour des ressources techniques, travailler avec vous sur des projets, délivrer une formation ou un transfert d’expertise et vous aider à résoudre vos problèmes, le PFE dédié est fait pour vous. Pour en savoir plus, contactez votre responsable technique de compte ou interlocuteur habituel chez Microsoft.

Complexité des mots de passe : il faut passer à un autre niveau !

  • Comments 0

Dans un article en anglais récemment publié, j’ai pu lire un nouveau rythme auquel il est possible de tenter de casser des mots de passe : un cluster de machines équipé au total de 25 GPU est capable de tenter 348 milliards de mots de passe NTLM par seconde.

Cette machine a été présentée à une conférence organisée à Oslo en Norvège début décembre. L’organisateur de la conférence, Per Thorsheim, a conclu que “les mots de passe de Windows XP ne sont plus assez bons”. Si les mots de passe Lan Manager continuent à être stockés dans la SAM, n’importe quelle combinaison peut être cassée en moins de 6 minutes du fait que ce codage se limite à deux séries de 7 caractères mis en majuscule, donc, un maximum de 69 puissance 7 possibilités. Des mots de passe de 8 caractères stockés en NTLM demandent 5,5 heures (95 puissance 8 combinaisons divisés par 348 milliards par secondes).

Plusieurs actions sont nécessaires face à ces nouveaux chiffres :

La stratégie disponible depuis Windows XP SP2 intitulée en anglais “Do not store LAN Manager hash value on next password change” doit être activée et les mots de passe changés deux fois pour éliminer toute trace d’un précédent mot de passe stocké avec un méthode trop simple.

Cette stratégie est située au niveau de Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, Options de sécurité et s’intitule en français Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe.

image

Si je calcule bien, un mot de passe complexe de 9 caractères tomberait en un peu plus de 23 jours, donc, il faudrait, aussi, demander à changer les mots de passe tous les 23 jours en imposant une longueur minimale de 9 caractères.

Ce réglage est situé au niveau de Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies de mot de passe et s’intitule Longueur minimal du mot de passe, entre autres.

image

Sachant que Windows XP ne propose aucune solution pour empêcher l’accès au fichier de la base de comptes, il devient indispensable de passer à des système protégeant cet accès comme ceux supportant BitLocker. La longueur des mots de passe n’est pas une mesure suffisante quand on sait que la plupart des mots de passes sont issus de mots figurant dans des dictionnaires.

Leave a Comment
  • Please add 6 and 4 and type the answer here:
  • Post