Les objets de la stratégie de mot de passe sont lisibles par tous, afin de permettre aux applications de vérifier si les mots de passe sont conformes. Cela signifie qu'un utilisateur non authentifié peut interroger le coffre-fort d'identité et trouver les stratégies de mot de passe appliquées. Si vos stratégies de mot de passe exigent des utilisateurs qu'ils créent des mots de passe performants, cela ne représente pas un risque (reportez-vous à la section « Create Strong Password Policies (Création de stratégies de mot de passe performantes) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe)).
La synchronisation des mots de passe dans Identity Manager permet de simplifier les mots de passe utilisateur et de réduire les coûts inhérents au service d'assistance. La synchronisation bidirectionnelle des mots de passe permet de partager de différentes façons des mots de passe entre eDirectory et les systèmes connectés (reportez-vous aux scénarios de la Section 5.8, Implémentation de la synchronisation des mots de passe).
Les stratégies de mot de passe et le mot de passe universel permettent d'appliquer auprès des utilisateurs des exigences fortes pour les mots de passe. Utilisez les règles de mot de passe avancées afin de vous conformer aux meilleures pratiques du marché en matière de mots de passe.
Vous pouvez par exemple exiger que les mots de passe utilisateur se conforment à des règles comme celles qui suivent :
Vous pouvez empêcher les utilisateurs de réutiliser des mots de passe et contrôler le nombre de mots de passe que le système doit stocker dans la liste d'historique à des fins de comparaison.
Le fait d'avoir des mots de passe plus longs est l'une des meilleures manières de renforcer la sécurité des mots de passe.
Le fait d'exiger au moins un caractère numérique dans un mot de passe aide à le protéger des attaques de dictionnaire, dans lesquelles les intrus essaient de se connecter en utilisant des mots du dictionnaire.
Vous pouvez exclure les mots qui, selon vous, présentent un risque, par exemple le nom ou un site de votre société, ou encore les mots test ou admin. Même si la liste d'exclusion n'a pas pour objet de remplacer tout un dictionnaire, elle peut être assez longue. Souvenez-vous simplement qu'une longue liste d'exclusions ralentit la connexion des utilisateurs. Afin de mieux se protéger des attaques de dictionnaire, il est préférable d'exiger l'utilisation de chiffres ou de caractères spéciaux.
N'oubliez pas que vous pouvez créer plusieurs stratégies de mot de passe si vous avez des exigences différentes dans les diverses parties de l'arborescence. Vous pouvez assigner une stratégie de mot de passe à la totalité de l'arborescence, au conteneur racine d'une partition, à un conteneur, voire à un utilisateur. Afin de simplifier l'administration, nous vous recommandons d'assigner des stratégies de mot de passe au niveau le plus élevé possible de l'arborescence.
Vous pouvez également utiliser le verrouillage contre les intrus. Comme toujours, cette fonctionnalité eDirectory permet de spécifier le nombre d'échecs autorisés dans les tentatives de connexion avant le verrouillage du compte. Il s'agit d'un paramètre du conteneur parent et non d'un paramètre de la stratégie de mot de passe. Reportez-vous à la section « Managing User Accounts (Gestion des comptes utilisateur) » du Novell eDirectory 8.7.3 Administration Guide (Guide d'administration de Novell eDirectory 8.7.3).