Partager via

Stratégie de mot de passe

S'applique à :SQL Server

SQL Server peut utiliser des mécanismes de stratégie de mot de passe Windows. La stratégie de mot de passe s’applique à une connexion qui utilise l’authentification SQL Server et à un utilisateur de base de données autonome avec un mot de passe.

SQL Server peut appliquer la même complexité et les mêmes stratégies d’expiration utilisées dans Windows pour les mots de passe utilisés dans SQL Server. Cette fonctionnalité dépend de l'API NetValidatePasswordPolicy .

Remarque

Azure SQL Database applique la complexité des mots de passe. Les sections d’expiration de mot de passe et d’application de stratégie ne s’appliquent pas à Azure SQL Database. Pour plus d’informations sur la stratégie de mot de passe pour Azure SQL Managed Instance, consultez notre FAQ sur SQL Managed Instance.

Complexité du mot de passe

Les stratégies de mot de passe complexes sont conçues pour décourager les attaques en augmentant le nombre de mots de passe possibles. Lorsque la stratégie de mot de passe complexe est mise en œuvre, les nouveaux mots de passe doivent respecter les critères suivants :

  • Le mot de passe ne doit pas contenir le nom du compte de l’utilisateur.

  • Les mots de passe doivent compter au moins huit caractères.

  • Les mots de passe doivent contenir des caractères appartenant à trois des quatre catégories suivantes :

    • Lettres majuscules latines (A à Z)
    • Lettres minuscules latines (a à z)
    • Chiffres de base 10 (0 à 9)
    • Caractères nonphanumériques tels que : point d’exclamation (!), signe dollar ($), signe numérique (#) ou pourcentage (%).

Les mots de passe peuvent comporter jusqu'à 128 caractères. Utilisez des mots de passe aussi longs et complexes que possible.

Expiration du mot de passe

Les stratégies d'expiration des mots de passe servent à gérer la durée de vie d'un mot de passe. Lorsque SQL Server applique la stratégie d’expiration des mots de passe, les utilisateurs sont invités à modifier leur ancien mot de passe, et les comptes dont le mot de passe est arrivé à expiration sont désactivés.

Application de stratégies

L'application de la stratégie de mot de passe peut être configurée séparément pour chaque connexion SQL Server. Utilisez ALTER LOGIN pour configurer les options de stratégie de mot de passe d’une connexion SQL Server. Les règles suivantes régissent la configuration du mode d'application des stratégies de mot de passe :

  • Quand CHECK_POLICY est modifié en ON, les comportements suivants se produisent :

    • CHECK_EXPIRATION est également défini sur ON sauf si elle est explicitement définie sur OFF.
    • L'historique du mot de passe est initialisé avec la valeur du hachage de mot de passe actuel.
    • Les optionsDurée de verrouillage de compte, Seuil de verrouillage de compteet Réinitialiser le compteur de verrouillages du compte après sont également activées.

  • Quand CHECK_POLICY est changé(e) en OFF, le comportement suivant se produit :

    • CHECK_EXPIRATION est également défini sur OFF.
    • L'historique du mot de passe est supprimé.
    • La valeur de lockout_time est réinitialisée.

Certaines combinaisons d’options de stratégie ne sont pas prises en charge.

  • Si MUST_CHANGE est spécifié, CHECK_EXPIRATION et CHECK_POLICY doivent être définis sur ON. Sans quoi, l'instruction échoue.

  • Si CHECK_POLICY est défini à OFF, CHECK_EXPIRATION ne peut pas être défini à ON. Une ALTER LOGIN instruction qui a cette combinaison d’options échoue.

  • Le paramètre CHECK_POLICY = ON empêche la création de mots de passe :

    • NULL ou vides
    • Identiques au nom de l'ordinateur ou de la connexion
    • Un des éléments suivants : password, admin, administrator, sa, sysadmin

La stratégie de sécurité peut être définie dans Windows ou peut être reçue du domaine. Pour afficher la stratégie de mot de passe sur l’ordinateur, utilisez le composant logiciel enfichable MMC Stratégie de sécurité locale (secpol.msc).

Remarque

Pour les connexions SQL Server pour lesquelles CHECK_POLICY est activé, si vous exécutez ALTER LOGIN et que vous n’incluez pas OLD_PASSWORD dans la commande pour changer le mot de passe, alors l’historique du mot de passe n’est pas appliqué. Il s’agit d’un comportement lié à la conception permettant d’autoriser les réinitialisations de mot de passe, malgré les mots de passe précédemment utilisés. D’autres vérifications associées à CHECK_POLICY, y compris la longueur et la complexité, sont vérifiées, qu’elles soient utilisées ou non OLD_PASSWORD .

Vérifier les informations de la politique de mot de passe utilisateur SQL

Vous pouvez consulter les stratégies et les dates d’expiration de mot de passe d’utilisateur SQL dans SQL Server à l’aide de la requête suivante. Bien que la requête suivante fonctionne également dans Azure SQL Database, seule la règle de complexité du mot de passe est appliquée dans Azure SQL Database.

SELECT name,
       is_policy_checked,
       is_expiration_checked,
       LOGINPROPERTY(name, 'IsMustChange') AS IsMustChange,
       LOGINPROPERTY(name, 'IsLocked') AS IsLocked,
       LOGINPROPERTY(name, 'LockoutTime') AS LockoutTime,
       LOGINPROPERTY(name, 'PasswordLastSetTime') AS PasswordLastSetTime,
       LOGINPROPERTY(name, 'IsExpired') AS IsExpired,
       LOGINPROPERTY(name, 'BadPasswordCount') AS BadPasswordCount,
       LOGINPROPERTY(name, 'BadPasswordTime') AS BadPasswordTime,
       LOGINPROPERTY(name, 'HistoryLength') AS HistoryLength,
       modify_date
FROM sys.sql_logins;

Contenu connexe

  • Last updated on