Règles de syntaxe des mots de passe

Dans les stratégies du type Mot de passe, vous définissez les règles des mots de passe utilisés pour vous connecter au système. Ces paramètres ne s'appliquent pas aux mots de passe utilisés pour la connexion aux terminaux chiffrés par BitLocker. Retrouvez plus de renseignements sur les mots de passe BitLocker à la section Codes confidentiels et mots de passe.

Les mots de passe peuvent comporter des nombres, des lettres et des caractères spéciaux (par exemple + - ; etc.). Toutefois, lorsque vous générez un nouveau mot de passe, n'utilisez pas de caractère avec la combinaison ALT + <caractère> car ce mode de saisie n'est pas disponible dans l'authentification au démarrage SafeGuard. Les règles relatives aux mots de passe utilisés pour se connecter au système sont définies dans des stratégies du type Mot de passe.

Remarque : retrouvez plus de renseignements sur l’application d’une stratégie de mot de passe fort à la section Recommandations en matière de sécurité ainsi que dans le Manuel SafeGuard Enterprise pour une utilisation conforme à la certification.

L'application de règles de mots de passe et l'historique des mots de passe peuvent seulement être garantis si le fournisseur de codes d'accès SGN est utilisé en permanence. Définissez des règles de mots de passe soit dans le SafeGuard Management Center, soit dans Active Directory, pas dans les deux.

Paramètre de stratégie Explication
Mot de passe
Longueur minimum du mot de passe Indique le nombre maximum de caractères que doit contenir un mot de passe lorsqu'il est modifié par l'utilisateur. La valeur requise peut être saisie directement ou augmentée/réduite à l'aide des boutons en forme de flèche.
Longueur maximale du mot de passe Spécifie le nombre maximum de caractères que peut contenir un mot de passe lorsque l'utilisateur en change. La valeur requise peut être saisie directement ou augmentée/réduite à l'aide des boutons en forme de flèche.
Nombre minimum de lettres

Nombre minimum de chiffres

Nombre minimum de caractères spéciaux

Ces paramètres spécifient qu'un mot de passe ne doit pas contenir seulement des lettres, des nombres ou des caractères spéciaux mais une combinaison de ces 2 au moins (par exemple, 15fleur). Ce paramètre n'est pratique que si la longueur minimale définie pour le mot de passe est supérieure à 2.
Interdire l'utilisation consécutive de touches horizontales Concerne les touches disposées successivement sur les rangées du clavier. Par exemple, « 123 » ou « aze ». Un maximum de deux caractères adjacents du clavier est autorisé. Les séquences de touches consécutives ne concernent que la zone du clavier alphanumérique.
Interdire l'utilisation consécutive de touches verticales Concerne les touches disposées successivement sur les colonnes du clavier. Par exemple « wqa1 », « xsz2 » ou « 3edc » (mais pas « wse4 », « xdr5 » ou « cft6 »). Un maximum de deux symboles adjacents d'une même colonne clavier est autorisé. Si vous n'autorisez pas les colonnes du clavier, ces combinaisons sont rejetées comme mot de passe. Les séquences de touches consécutives ne concernent que la zone du clavier alphanumérique.
Interdire l'utilisation de trois caractères consécutifs ou plus L'activation de cette option interdit les séquences de touches
  • qui sont des séries consécutives de symboles de code ASCII, que ce soit par ordre croissant ou décroissant (« abc » ou « cba »).

  • constituées de trois symboles identiques ou plus (« aaa » ou « 111 »).

Interdire l'utilisation du nom d'utilisateur en tant que mot de passe Indique qu'un nom d'utilisateur ne doit pas être utilisé en tant que mot de passe.

Oui : le nom d'utilisateur Windows et le mot de passe doivent être différents.

Non : l'utilisateur peut utiliser son nom d'utilisateur Windows comme mot de passe.

Utiliser la liste des mots de passe interdits Détermine si certaines séquences de caractères ne doivent pas être utilisées pour les mots de passe. Les séquences de caractères sont stockées dans la Liste des mots de passe interdits (par exemple, un fichier .txt).
Liste des mots de passe interdits Définit les séquences de caractères à ne pas utiliser pour les mots de passe. Si un utilisateur utilise un mot de passe non autorisé, un message d'erreur s'affiche.

Une liste (fichier) de mots de passe interdits doit être enregistrée dans SafeGuard Management Center, dans la zone de navigation des stratégies sous Textes. Retrouvez plus de renseignements à la section Création d'une liste de mots de passe interdits à utiliser dans les stratégies. La liste n'est disponible qu'après l'enregistrement.

Taille de fichier maximale : 50 Ko

Format pris en charge : Unicode

Définition de mots de passe interdits

Dans la liste, les mots de passe interdits sont séparés par un saut de ligne. Caractère générique : Le caractère générique « * » peut représenter tout caractère et tout nombre de caractères dans un mot de passe. Par exemple, *123* signifie que toute séquence de caractères contenant 123 sera interdite comme mot de passe.

Remarque :

  • Si la liste ne contient qu'un seul caractère générique, l'utilisateur ne sera plus en mesure de se connecter au système après un changement obligatoire de mot de passe.

  • Les utilisateurs ne doivent pas être autorisés à accéder à ce fichier.

  • L'option Utiliser la liste des mots de passe interdits doit être activée.

Respecter la casse Ce paramètre ne s'applique qu'avec Utiliser la liste des mots de passe interdits et Interdire l'utilisation du nom d'utilisateur en tant que mot de passe.

Exemple 1 : vous avez saisi « tableau » dans la liste des mots de passe interdits. Si l'option Respecter la casse est définie sur Oui, les variantes supplémentaires du mot de passe telles que TABLEAU, TablEAU ne seront pas acceptées et la connexion sera refusée.

Exemple 2 : le nom d'utilisateur « ROussos » est saisi. Si l'option Respecter la casse est définie sur Oui et si l'option Interdire l'utilisation du nom d'utilisateur en tant que mot de passe est définie sur Non, l'utilisateur ROussos ne peut pas utiliser de variante du nom d'utilisateur (par exemple, roussos ou rOussOS) en tant que mot de passe.

Modifications
Modification du mot de passe autorisée après un min. de (jours) Détermine la période pendant laquelle un mot de passe ne peut être modifié. Ce paramètre empêche l'utilisateur de changer trop souvent de mot de passe au cours d'une période donnée. Si l’utilisateur est forcé à changer son mot de passe par Windows ou s’il modifie son mot de passe après l’affichage du message d’avertissement indiquant que le mot de passe expirera dans X jours, ce paramètre ne sera pas évalué.

Exemple :

L'utilisateur Bertrand définit un nouveau mot de passe (par exemple, « 13jk56 »). L'intervalle minimum de changement pour cet utilisateur (ou pour le groupe auquel il appartient) est défini à cinq jours. Après deux jours seulement, l'utilisateur décide de changer le mot de passe en « 13jk56 ». Le changement de mot de passe est refusé car l'utilisateur Bertrand ne peut définir un nouveau mot de passe qu'après un délai de cinq jours.

Expiration du mot de passe après (jours) Si vous paramétrez cette option, l'utilisateur doit définir un nouveau mot de passe une fois la période définie expirée.
Avertir d'un changement obligatoire avant (jours) Un message d'avertissement s'affiche «n» jours avant l'expiration du mot de passe pour rappeler à l'utilisateur de changer son mot de passe dans «n» jours. L'utilisateur peut également le changer immédiatement.
Généralités
Masquer le mot de passe à l'authentification au démarrage Indique si les caractères sont masqués lors de la saisie des mots de passe. Si cette option est activée, vous ne verrez rien s'afficher lors de la saisie du mot de passe à l'authentification au démarrage. En cas contraire, les mots de passe sont cachés par des astérisques.
Longueur de l'historique de mot de passe Détermine à quel moment des mots de passe déjà utilisés peuvent l'être à nouveau. Il est judicieux de définir la longueur d'historique conjointement au paramètre Expiration du mot de passe après (jours).

Exemple :

La longueur d'historique du mot de passe pour l'utilisateur Bertrand est définie à 4 et le nombre de jours à l'issue desquels l'utilisateur doit changer son mot de passe est de 30. M. Bertrand se connecte actuellement en utilisant le mot de passe « Informatique ». Lorsque la période de 30 jours expire, il est invité à modifier son mot de passe. M. Bertrand saisit « Informatique » comme nouveau mot de passe et reçoit un message d'erreur indiquant que ce mot de passe a déjà été utilisé et qu'il doit en sélectionner un nouveau. M. Bertrand ne peut pas utiliser le mot de passe « Informatique » avant la quatrième invitation de changement du mot de passe (en d'autres termes, longueur d'historique du mot de passe = 4).

Remarque : Si vous définissez la longueur de l'historique de mot de passe sur 0, l'utilisateur peut utiliser son ancien mot de passe comme nouveau mot de passe. Ceci n'est pas la bonne marche à suivre et doit être évité autant que possible.
Synchronisation du mot de passe de l'utilisateur avec les autres clients SGN
Ce champ détermine la procédure de synchronisation des mots de passe lorsque des utilisateurs se servant de plusieurs terminaux SafeGuard Enterprise, et définis comme les utilisateurs de ces ordinateurs, changent leurs mots de passe. Les options suivantes sont disponibles :
  • Lent (attendre que l'utilisateur se connecte)

    Si un utilisateur change son mot de passe sur un terminal SafeGuard Enterprise et s'il tente de se connecter à un autre ordinateur sur lequel il est également enregistré, il doit tout d'abord se connecter avec son ancien mot de passe à l'authentification au démarrage. La synchronisation du mot de passe n'est effectuée qu'après la connexion avec l'ancien mot de passe.

  • Rapide (attendre la connexion de la machine)

    Si un utilisateur change son mot de passe sur un terminal SafeGuard Enterprise, la synchronisation du mot de passe avec d'autres ordinateurs, sur lesquels l'utilisateur est également enregistré, est effectuée dès que l'autre ordinateur a établi une connexion avec le serveur. C'est le cas, par exemple, lorsqu'un autre utilisateur, également enregistré en tant qu'utilisateur de l'ordinateur, se connecte simultanément à l'ordinateur.