Novell Documentation: Novell Identity Manager 3

7.3 Gestion des mots de passe

Lorsque vous choisissez d'échanger des informations entre les systèmes connectés, prenez garde à bien sécuriser l'échange. Cela vaut particulièrement pour les mots de passe.

L'attribut Indice de mot de passe (nsimHint) est également lisible par tous, ce qui permet aux utilisateurs non authentifiés qui ont oublié leur mot de passe d'accéder à leur indice. Les indices de mots de passe peuvent contribuer à réduire le nombre d'appels au service d'assistance.
Pour des raisons de sécurité, ces indices sont contrôlés afin de vérifier qu'ils ne contiennent pas le mot de passe de l'utilisateur. Toutefois, un utilisateur peut toujours créer un indice de mot de passe fournissant trop d'informations sur le mot de passe.

Afin d'améliorer la sécurité lors de l'utilisation des indices de mots de passe :
- Autorisez l'utilisateur à n'accéder qu'à l'attribut nsimHint sur le serveur LDAP utilisé pour les options de mot de passe en libre-service.
- Exigez que les utilisateurs répondent aux stimulation-questions avant de pouvoir recevoir leur mot de passe.
- Rappelez aux utilisateurs qu'ils doivent créer des indices de mots de passe qu'eux seuls peuvent comprendre. L'option Message de modification du mot de passe, dans la stratégie de mot de passe, est l'une des manières de le faire. Reportez-vous à la section « Adding a Password Change Message (Ajout d'un message de modification du mot de passe) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe).
Si vous choisissez de ne pas utiliser d'indice de mot de passe, vérifiez que vous n'utilisez cette fonction dans aucune des stratégies de mot de passe. Afin d'éviter que des indices de mot de passe ne soient définis, vous pouvez aller encore plus loin et supprimer complètement la fonction Configuration de l'indice en suivant la procédure décrite à la section « Disabling Password Hint by Removing the Hint Gadget (Désactivation de l'indice de mot de passe par la suppression de la fonction Indice) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe).
Les Questions de stimulation peuvent être lues par le public, pour que les utilisateurs non authentifiés ayant oublié leur mot de passe puissent s'authentifier d'une autre manière. Le fait d'exiger les stimulation-questions augmente la sécurité du libre-service Mot de passe oublié ; en effet, l'utilisateur doit prouver son identité en apportant les réponses correctes avant de recevoir son mot de passe oublié ou un indice de mot de passe ou encore de réinitialiser son mot de passe.
Un paramètre de verrouillage contre les intrus est appliqué pour les stimulation-questions, de manière à limiter le nombre de tentatives incorrectes que pourrait réaliser un intrus.

Un utilisateur pourrait créer des stimulation-questions qui contiennent des indices sur le mot de passe. Rappelez aux utilisateurs qu'ils doivent créer des stimulation-questions et des réponses qu'eux seuls peuvent comprendre. L'option Message de modification du mot de passe, dans la stratégie de mot de passe, est l'une des manières de le faire. Reportez-vous à la section « Adding a Password Change Message (Ajout d'un message de modification du mot de passe) » du Password Management Administration Guide (Guide d'administration pour la gestion des mots de passe).
Pour des raisons de sécurité, les opérations consécutives à l'oubli du mot de passe (Envoyer par messagerie électronique le mot de passe actuel à l'utilisateur et Autoriser l'utilisateur à réinitialiser le mot de passe) ne sont disponibles que si vous exigez de l'utilisateur qu'il réponde aux stimulation-questions.
Une nouvelle fonction a été ajoutée à NMAS™ 2.3.4 afin d'améliorer la sécurité de la modification des mots de passe universels par un administrateur. Elle fonctionne de façon très similaire à la fonction précédemment proposée pour le mot de passe NDS®.
Lorsqu'un administrateur modifie le mot de passe d'un utilisateur, par exemple lors de la création d'un nouvel utilisateur ou en réponse à un appel de dépannage, le mot de passe précédent expire automatiquement si vous avez activé le paramètre d'expiration des mots de passe dans la stratégie de mots de passe. Ce paramètre se trouve dans les règles de mots de passe avancées ; il est appelé Nombre de jours avant l'expiration du mot de passe (0-365). Dans cette fonction, ce n'est pas le nombre de jours défini qui est important, c'est son activation.