Configuration de la politique :

• Complexité du mot de passe
  • Caractères autorisés: Caractères majuscules (A - Z), Caractères minuscules (a - z), Chiffres (0 - 9),
  • symboles (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>), espace vide
  • Caractères non autorisés: Caractères Unicode
  • Longueur du mot de passe: les mots de passe nécessitent - 8 caractères au minimum - 256 caractères au maximum
  • Complexité du mot de passe: les mots de passe exigent trois des quatre éléments suivants : caractères en majuscules, caractères en minuscules, chiffres, symboles
  • Le mot de passe n’est pas interdit par une liste de mots de passe (dictionnaire par exemple)
• Durée de vie
  • Après combien de temps le mot de passe expire
  • Ou le mot de passe n’expire jamais
• Méthode d’authentification 
  • simple ou double authentification
    Si double authentification, quelle méthode :
    • Notification sur l’application mobile
    • Code de l’application mobile
    • E-mail
    • Téléphone mobile

Délai avant lequel les utilisateurs soient invités à reconfirmer leurs informations double authentification

• Systématiquement
• X jours
• Réinitialisation du mot de passe en mode « libre-service (SSPR) »
  Oui / Non : lorsque l’administrateur désactive la politique de libre-service, les utilisateurs doivent s’adresser à l’administrateur qui effectue alors une réinitialisation du mot de passe
  • Données à préremplir pour « réinitialiser en libre-service (SSPR) »,
    • niveau de privilèges pour pouvoir réinitialiser (administrateur, utilisateur, …)
    • données nécessaires à la réinitialisation : téléphone, l’e-mail, app, …
    • questions de sécurité (nombre, lesquelles)
  • Mot de passe pas utilisé récemment : lorsqu’un utilisateur modifie ou réinitialise son mot de passe, le nouveau mot de passe ne peut pas être le même que le mot de passe actuel ou qu’un mot de passe récemment utilisé
  • Notifications lors des changements de mort de passe
    • Notifier les utilisateurs lors des réinitialisations de mot de passe ?
    • Notifier les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe ?

A la création d’un utilisateur :

1/ Créer l’utilisateur

• Notifier la création de compte à l’utilisateur
• Si besoin, indiquer ses rôles
• Rappelez les règles de sécurité et de confidentialité
• Informez sur la politique de mots de passe et les pré-requis
  • Données à remplir pour réinitialisation en libre-service (téléphone, mail, ..)
  • Si double authentification, méthodes que l’utilisateur doit choisir : notification sur l’application mobile, code de l’application mobile, e-mail, téléphone mobile

2/ Générer un mot de passe à usage unique

• l’administrateur génère un mot de passe (au hasard)
• il envoie le mot de passe à l’utilisateur via un autre média (SMS…)
• l’utilisateur change obligatoirement de mot de passe à la première connexion

2’/ si le mécanisme « usage unique » n’existe pas 

• l’administrateur génère un mot de passe (au hasard)
• il envoie du mot de passe à l’utilisateur via un autre média (SMS…)
• il demande expressément le changement du mot de passe par l’utilisateur
• il vérifie postérieurement que le mot de passe a été changé

Changement de politique de mot de passe

Lors d’un changement de politique de mot de passe, l’administrateur abroge la durée de vie de tous les mots de passe concernés. Les utilisateurs sont invités à saisir un nouveau mot de passe correspondant à la nouvelle politique

Absence de mécanisme SSPR + première connexion

Si le mécanisme « réinitialiser en libre-service (SSPR) » n’existe pas et que l’utilisateur ne peut pas changer de mot de passe à la première connexion, l’administrateur doit alerter l’éditeur de l’application pour demander le changement de la procédure d’authentification ou envisager le changement d’application le cas échéant.