Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Azure AD Password Protection disponible, la fonctionnalité de gestion de mots de passe
Réduit le risque d'attaques de type Password Spraying

Le , par Jonathan

91PARTAGES

6  0 
Une attaque informatique du type Password Spraying consiste à tester dans un système, un ensemble limité de mots de passe sur un ensemble de comptes pour, à l’inverse d’une tentative par Force Brute, rester discret et ne pas déclencher les blocages des comptes ou les alertes. Lors de ce type d'attaque, plusieurs comptes vont être exposés en particulier ceux dont les utilisateurs avaient des mots de passe faisant partie des plus communs. Dans le but de protéger les utilisateurs de ce genre d'attaques et d'améliorer la sécurité sur leur plateforme, les équipes d'Azure ont développé une fonctionnalité de gestion des mots de passe qui est d'ailleurs déjà disponible.

Azure Active Directory est un outil d’intégration d’identité locale, qui permet de connecter plusieurs utilisateurs à Microsoft Office 365 ainsi qu'à des milliers d’applications SaaS. Les utilisateurs disposent ainsi d’une authentification unique pour l’intégralité des applications web locales et fonctionnant sur le cloud. Cette nouvelle fonctionnalité servira donc à bloquer les mots de passe couramment utilisés et compromis, ce qui réduira considérablement les risques liés aux attaques de type Password Spraying.


Une première version de cette fonctionnalité avait déjà été publiée en juin de l'année dernière, mais la version actuelle a été optimisée. Elle est livrée avec un algorithme de gestion des mots de passe bannis, qui a été enrichi avec une base de données contenant des mots de passe récemment utilisés lors des violations de données ainsi que plus d'un million de variantes de substitution de caractères de ces mots de passe.

Désormais, il est impossible pour les utilisateurs de pouvoir choisir un mot de passe facile à deviner ou déjà inclus dans la liste des mots de passe bannis. D'ailleurs Alex Simons, vice-président de la gestion des programmes de la division Microsoft Identity, a fait savoir qu'Azure mettra régulièrement à jour la base de données des mots de passe interdits en se basant sur des milliards d'authentifications et sur l'analyse des informations d'identification divulguées sur le web.

Ainsi, s'il arrivait qu'un utilisateur veuille remplacer son mot de passe par un de ceux ayant été bannis, il verrait s'afficher un message d'erreur disant ceci : « Malheureusement, votre mot de passe contient un mot, une phrase ou un motif qui permet de facilement le deviner ». Cette fonctionnalité est déjà disponible pour les environnements cloud et hybrides.

La nouvelle fonctionnalité peut facilement être configurée à partir du portail Azure AD, mais il faut au préalable se connecter à ce portail avec un compte administrateur global. Ensuite, accéder au panneau Méthodes d'Authentification et d'y découvrir enfin la fonctionnalité Password Protection. A partir de là, il est possible de la configurer, ce qui implique la gestion de la protection par mot de passe pour Azure AD et Windows Server AD sur site. Il y est également possible de personnaliser les paramètres de verrouillage intelligent Azure AD et spécifier une liste de mots de passe supplémentaires à bloquer, propre à une entreprise.

Source : Microsoft

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Microsoft dévoile l'Azure Kinect, un nouveau périphérique qui tire parti du Cloud et de l'IA, Zoom sur le successeur de la Kinect pour Windows
Microsoft présente Azure Sentinel et Threat Experts pour aider les professionnels de la sécurité à réagir plus rapidement lors de cyberattaques
Azure DevOps : Microsoft annonce le successeur de Visual Studio Team Services et un service d'intégration et déploiement continus intégrés à GitHub

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 05/04/2019 à 4:18
Les milliards d'authentifications sont directement analysé sur leur propre serveurs Azure, pour ce qui est des informations d'identification divulguées, oui, non seulement cela survient après, mais ne concerne que les éléments divulgué.

Ce qu'il faut comprendre, c'est que ça a pour but d'empêcher les utilisateurs d'Azure de faciliter (ou de ne pas compliquer) la réussite d'attaques courantes. Et qui dit "courante" implique inévitablement une relation au temps, à la mode... et à sa démocratisation, son adoption, son ampleur. Donc suivre se qui se voit dans les divulgations est plutôt pertinent. =)

Pour ce qui est d'anticiper, effectivement, c'est pas la solution. ^^'
2  0 
Avatar de Zefling
Membre expert https://www.developpez.com
Le 18/05/2019 à 8:06
Avec KeePass ça fait un baille que j'ai arrêté de retenir mes mots de passe. En fait, j'ai que des trucs générés aléatoirement maintenant.
2  0 
Avatar de Thomasa21
Membre averti https://www.developpez.com
Le 04/04/2019 à 12:16
Citation Envoyé par Jonathan Voir le message
Azure mettra régulièrement à jour la base de données des mots de passe interdits en se basant sur des milliards d'authentifications et sur l'analyse des informations d'identification divulguées sur le web
cela voudrait dire que cette nouvelle fonctionnalité servira à pas grand chose puisque s'il faut tout le temps attendre que les pirates essaient des mots de passe pour que ceux-ci puissent être inclus dans la base de données des mots de passe bannis, alors cette fonctionnalité aura toujours du retard sur les pirates.
1  0 
Avatar de LittleWhite
Responsable 2D/3D/Jeux https://www.developpez.com
Le 17/05/2019 à 9:11
Bonjour,

En effet, une limite de 16 caractères, c'est naze (comme d'autres limites telles que : que des chiffres, de 4 à 8 caractères...). Toutefois, les gens risquent de continuer à mettre "password" ou "123456". Et même s'ils mettent un long mot de passe, il faut surtout qu'il ne soit pas sauvegardé en clair dans la BDD.
1  0 
Avatar de Thomasa21
Membre averti https://www.developpez.com
Le 05/04/2019 à 13:05
ah ouais, je comprends mieux.
0  0 
Avatar de pschiit
Membre actif https://www.developpez.com
Le 18/05/2019 à 7:45
256 caractères?
et comment les gens peuvent retenir les 256 caractères? un post-it sur l'écran ne suffira même plus...

trop de mot de passe tue la sécurité
0  0 
Avatar de Ehma
Membre actif https://www.developpez.com
Le 21/05/2019 à 14:30
256 caractères?
et comment les gens peuvent retenir les 256 caractères? un post-it sur l'écran ne suffira même plus...

trop de mot de passe tue la sécurité
Justement, des politiques pareilles poussent les utilisateurs aux post-it. Voilà la faille !

Bah, on finira par avoir un lecteur de code ADn, couplés aux empreintes avec confirmation vocale validée par l'iris intégré à tout ordinateur qui se respecte. Patience !
0  0