Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
En tant qu’administrateur Microsoft 365, vous êtes responsable de la définition de la stratégie de mot de passe pour les utilisateurs de votre organization. La configuration d'une stratégie de mot de passe peut être complexe et déconcertante. Cet article vous fournit des recommandations pour renforcer la sécurité de votre organisation contre les attaques par mot de passe.
Les comptes Microsoft cloud uniquement ont une stratégie de mot de passe prédéfinie qui ne peut pas être modifiée. Les seuls éléments que vous pouvez modifier sont le nombre de jours avant l’expiration d’un mot de passe et l’expiration ou non des mots de passe.
Pour déterminer la fréquence d’expiration des mots de passe Microsoft 365 dans votre organisation, consultez la page Définir une stratégie d’expiration de mot de passe pour Microsoft 365.
Présentation des recommandations concernant les mots de passe
Les pratiques pour mot de passe recommandées sont classées en plusieurs catégories :
Résistance aux attaques courantes : cela implique le choix de l’emplacement où les utilisateurs entrent les mots de passe (appareils connus et approuvés avec une bonne détection des programmes malveillants, sites validés) et le choix du mot de passe à choisir (longueur et unicité).
Contenir des attaques réussies : le fait de contenir des attaques de pirates informatiques réussies consiste à limiter l’exposition à un service spécifique ou à prévenir complètement ces dommages si le mot de passe d’un utilisateur est volé. Par exemple, s’assurer qu’une violation de vos informations d’identification de réseaux sociaux ne rende pas votre compte bancaire vulnérable, ou ne pas laisser un compte peu protégé accepter des liens de réinitialisation pour un compte important.
Comprendre la nature humaine : De nombreuses pratiques de mot de passe valides échouent face aux comportements humains naturels. La compréhension de la nature humaine est essentielle, car la recherche montre que presque toutes les règles que vous imposez à vos utilisateurs entraînent un affaiblissement de la qualité du mot de passe. Les exigences de longueur, de caractères spéciaux et de modification du mot de passe entraînent une normalisation des mots de passe, ce qui permet aux pirates informatiques de deviner ou de déchiffrer les mots de passe plus facilement.
Conseils relatifs aux mots de passe pour les administrateurs
La diversité des mots de passe représente l’objectif principal d’un système de mot de passe sécurisé. Vous souhaitez que votre stratégie de mot de passe contienne un grand nombre de mots de passe différents et difficiles à deviner. Voici quelques recommandations pour garantir la sécurité de votre organisation.
- Maintenir une longueur minimale de 14 caractères. (Même si Microsoft 365 nécessite au moins huit caractères, pour renforcer la sécurité, nous recommandons un minimum de 14 caractères.)
- N’utilisez pas de mots de passe faciles à deviner comme
abcdefgoupassword - Apprendre aux utilisateurs à ne pas réutiliser leurs mots de passe organization à des fins non liées au travail
- Appliquer l’inscription pour l’authentification multifacteur
- Défis liés à l’authentification multifacteur basée sur les risques
Conseils de mot de passe pour les utilisateurs
Voici quelques conseils sur les mots de passe destinés aux utilisateurs de votre organisation. Assurez-vous d'informer vos utilisateurs sur ces recommandations et d'appliquer les stratégies de mot de passe recommandées au niveau de l’organisation.
- N’utilisez pas de mot de passe identique ou similaire à celui utilisé sur d’autres sites web
- N’utilisez pas un seul mot, par exemple ,
passwordou une expression couramment utilisée commeIloveyou - Définissez des mots de passe difficiles à deviner, même par des personnes qui en savent beaucoup sur vous. Les exemples incluent l’utilisation des noms et des anniversaires de vos amis et de votre famille, de vos groupes favoris et des expressions que vous aimez utiliser
Interdire les mots de passe faciles à deviner
L’exigence de mot de passe la plus importante que vous devez imposer à vos utilisateurs lors de la création de mots de passe consiste à interdire l’utilisation de mots de passe faciles à deviner qui rendent vos organization vulnérables aux attaques de mot de passe par force brute. Les exemples incluent :
abcdefgpasswordmonkey123456
Former les utilisateurs à ne pas réutiliser les mots de passe de l’organisation ailleurs
L’un des messages les plus importants à passer aux utilisateurs de votre organisation consiste à ne pas réutiliser leur mot de passe d’organisation ailleurs. L’utilisation de mots de passe organization dans les sites web externes augmente considérablement la probabilité que les cybercriminels puissent compromettre ces mots de passe.
Appliquer l’inscription de l’authentification multifacteur
Veillez à ce que les utilisateurs mettent à jour leurs informations de sécurité et de contact, telles que l'adresse e-mail secondaire, le numéro de téléphone ou l'appareil enregistré pour les services de notifications Push afin qu'ils puissent répondre aux questions challenges et être informés des évènements de sécurité. Les informations de contact et de sécurité mises à jour permettent aux utilisateurs de vérifier leur identité en cas d'oubli de leur mot de passe, ou si un autre utilisateur tente de prendre le contrôle de leur compte. Il fournit également un canal de notification hors bande pour les événements de sécurité tels que les tentatives de connexion ou les mots de passe modifiés.
Pour plus d’informations, consultez Configurer l’authentification multifacteur.
Activer l’authentification multifacteur basée sur les risques
L’authentification multifacteur basée sur les risques garantit que lorsque notre système détecte une activité suspecte, il peut mettre l’utilisateur au défi de s’assurer qu’il est le propriétaire légitime du compte.