Cette rubrique décrit les options de définition et de gestion des mots de passe. (PARAMÈTRES > Stratégies de sécurité - Mots de passe).

Length & Complexity (Longueur et complexité)

Cette section contrôle la complexité minimale du mot de passe et les exigences de longueur pour le système MOVEit Transfer.

  • Minimum Length (Longueur minimale) : Un mot de passe de cette longueur (ou d'une longueur supérieure) est obligatoire. (Les mots de passe ne peuvent pas être vides.) La valeur minimum acceptée est 4, et la valeur par défaut est 6.
  • Minimum Complexity (Complexité minimale) : Contrôle quel paquet de règles de complexité sont appliquées aux mots de passe. Le paramètre de complexité par défaut est Minimal (Complexité minimale).

PARAMÈTRES > Stratégies de sécurité - Mot de passe [ Longueur et Complexité ] (vue administrateur seulement)

Le fichier passdict.txt contient un dictionnaire complet des mots de passe interdits. Il se trouve dans : d:\moveitdmz ou dans un dossier similaire. (Il n'est pas localisé dans « Program Files ») Ce fichier n'est PAS crypté et peut être modifié par tout éditeur de texte.

Aging & History (Vieillissement et historique)

MOVEit Transfer fournit des contrôles intégrés pour exiger des changements de mot de passe réguliers, ou à la fois réguliers et fréquents, et empêcher la pratique dangereuse qui consiste à réutiliser des mots de passe. L'utilisation du vieillissement du mot de passe et de « l'historique » (interdiction d'utiliser le mot de passe récemment utilisé dans les n derniers mots de passe utilisés) sont des éléments obligatoires de toutes les normes de cybersécurité actuelles.

Utilisez ces contrôles pour définir des stratégies (ensembles de règles) pour la régulation :

  • La période pendant laquelle un mot de passe peut être utilisé.
  • Combien de mots de passe précédemment utilisés doivent être exclus de l'utilisation actuelle...
  • et bien plus encore.

Comment créer et appliquer des règles de vieillissement et d'historique des mots de passe

Le flux de travail pour utiliser cette fonctionnalité vous oblige à créer des ensembles de règles (stratégies) avant de pouvoir les appliquer par rôle d'utilisateur.

  • Tout d'abord, vous devez ajouter/créer des ensembles de règles appelés Stratégies.
  • Ensuite, vous pouvez appliquer ces ensembles de règles à un rôle d'utilisateur spécifique au sein de votre organisation.
Important : Ces contrôles de vieillissement et d'historique des mots de passe n'ont aucun effet sur les sources de mots de passe externes et les mesures de contrôle d'accès (notamment dans le cas où Authentification unique est utilisée).

Définir des politiques de vieillissement des mots de passe pour chaque rôle d'utilisateur dans votre organisation

Contrôle/fonctionnement

Remarques

Ajouter une stratégie. Tout d'abord, définissez un nouveau jeu de règles pour le vieillissement des mots de passe que vous pouvez appliquer à un rôle spécifique d'utilisateur.

Vous devez créer une stratégie avant de pouvoir appliquer des règles de stratégie qui modifient le comportement par défaut (aucune stratégie appliquée).

Stratégie de vieillissement des mots de passe (Sélectionnez-en un dans la liste déroulante.)

1. Sélectionnez une stratégie prédéfinie pour chaque rôle d'utilisateur dans votre organisation.

2. Cliquez sur Modifier pour appliquer la stratégie que vous avez sélectionnée.

Souvent, les utilisateurs disposant d'une plus grande portée d'accès (tels que les administrateurs) sont considérés comme de bons candidats pour des périodes de vieillissement plus courtes. (Un meilleur accès signifie un plus grand risque et des périodes de vieillissement plus courtes aident à atténuer ce risque.)

Nom de la stratégie (vue du tableau). Parcourir, modifier ou supprimer les stratégies de vieillissement des mots de passe créées à l'aide du contrôle Ajouter Stratégie.

Ce tableau est initialement vide jusqu'à ce que vous créiez une stratégie.

Modification de la stratégie de vieillissement des mots de passe

Définition des règles de vieillissement des mots de passe à l'aide de la vue de stratégie Ajouter/modifier des mots de passe

Historique des mots de passe. Permet aux administrateurs d'empêcher les utilisateurs de réutiliser le même mot de passe. La valeur par défaut est 0, et la valeur maximale autorisée est 99. Les historiques de mots de passe sont construits lorsque les utilisateurs modifient leurs mots de passe. Cela signifie que les historiques de mots de passe ne vont pas apparaître dès qu'un administrateur modifie le paramètre d'historique de 0 à 5.

Vieillissement des mots de passe. Active/désactive le vieillissement des mots de passe. Si cette option est activée, les mots de passe EXPIRENT après un nombre de jours configuré. Après l'expiration d'un mot de passe, l'utilisateur est bloqué jusqu'à ce qu'un administrateur réactive son compte. Une notification d'expiration de mot de passe est également envoyée aux administrateurs et administrateurs de groupes concernés. La valeur par défaut est DÉSACTIVÉE.

Lock out user if password older than (Bloquer l'utilisateur si le mot de passe a plus de) : Les mots de passe plus vieux que ce nombre de jours EXPIRENT, ce qui provoque le blocage des utilisateurs jusqu'à ce qu'un administrateur réactive leur compte. La valeur par défaut est 120 jours, la valeur minimale autorisée est 1 et la valeur maximum autorisée est 9999.

Warn and force password change in advance (Avertir et forcer la modification de mot de passe à l'avance). Lorsque cette option est activée, MOVEit Transfer envoie un E-MAIL d'expiration de mot de passe qui prévient l'utilisateur de l'expiration imminente de son mot de passe. Une notification par e-mail est envoyée aux administrateurs et aux administrateurs de groupe concernés, leur indiquant que l'utilisateur a été informé de l'expiration imminente de son mot de passe. De plus, lorsque l'échéance d'un mot de passe utilisateur atteint le nombre de jours configuré, l'utilisateur est automatiquement forcé de modifier son mot de passe lors de sa prochaine connexion.

How many days in advance (Nombre de jours à l'avance). Contrôle combien de jours avant l'expiration du mot de passe l'avertissement est envoyé. Contrôle également combien de jours avant l'expiration du mot de passe MOVEit Transfer commence à forcer l'utilisateur à modifier son mot de passe à sa prochaine connexion. La valeur par défaut est dix jours, la valeur minimum autorisée est 0 et la valeur doit être inférieure ou égale à la valeur du paramètre Lock out if older than (Bloquer si plus vieux que).

Lorsque des modifications des options de vieillissement du mot de passe sont effectuées, le système vérifie si les utilisateurs actuels verront leur mot de passe marqué comme Expiré en raison des nouveaux paramètres. Si des utilisateurs sont ainsi identifiés, une deuxième page apparaît demandant à l'administrateur s'il souhaite réinitialiser les dates de modification du mot de passe de ces utilisateurs en fonction de l'heure actuelle. Cette action ne modifie pas les mots de passe des utilisateurs. À la place, l'horodatage associé à chaque mot de passe d'utilisateur est modifié, évitant que les mots de passe soient considérés comme trop vieux. Si l'invite est refusée, les utilisateurs affectés verront leur mot de passe marqué comme Expiré lors de l'exécution de la prochaine tâche planifiée de nuit.

Permissions (mot de passe utilisateur)

Les administrateurs des organisations peuvent contrôler la manière dont les mots de passe sont fournis et si les utilisateurs peuvent les réinitialiser sans intervention de l'administrateur.

Droits : Modification/Livraison de mot de passe

Cette section détermine la méthode de diffusion disponible ou préférée lorsque les administrateurs créent d’autres utilisateurs.

  • No direct email (Pas d'e-mail direct). Utilisez un autre canal (hors application).
  • Mot de passe de messagerie. Envoyez le mot de passe dans la notification de nouveau compte. Les administrateurs peuvent envoyer les nouveaux mots de passe aux utilisateurs par e-mail, lors de l'ajout d'un nouvel utilisateur ou de la modification du mot de passe d'un utilisateur existant.
  • Lien de réinitialisation d’e-mail. Envoyez un lien à l'adresse électronique actuelle de l'utilisateur configurée dans MOVEit Transfer.
Remarque : Sauf si SMTPS (SMTP sécurisé) est configuré, les mots de passe sont envoyés par e-mail en texte brut. Pour plus d'informations sur la configuration de SMTPS, consultez la section SMTP de la rubrique Configuration système.

Droits : Modifier/activer la réinitialisation initiée par l'utilisateur

Allow Users to Change Own Password (Autoriser les utilisateurs à modifier leur mot de passe) (lorsqu'ils sont connectés)

Lorsque cette option est cochée, les utilisateurs peuvent modifier leurs mots de passe. Sinon, lorsque la case n'est pas cochée, les utilisateurs ne peuvent pas modifier leurs mots de passe.

Valeur par défaut = cochée (Activé).

Autoriser les utilisateurs finaux à réinitialiser le mot de passe

Lorsqu'elle est cochée (Activé), les utilisateurs sont autorisés à demander un changement de mot de passe à partir de l'écran de connexion de MOVEit Transfer. Cela autorise les utilisateurs à réinitialiser leurs mots de passe sans avoir à demander à un membre de l'assistance technique du site.

Si l'option est Activée, des utilisateurs individuels peuvent toujours se voir refuser des demandes de modification de mot de passe en activant le paramètre Interdire l'utilisateur de demander des changements de mot de passe automatiques sur le profil de l'utilisateur. Reportez-vous à la section Mot de passe de la documentation Profil utilisateur pour plus d'informations.

Si un utilisateur clique sur le lien Demande de changement de mot de passe sur la page de connexion, il est invité à entrer un nom d'utilisateur. Un e-mail est envoyé à l'adresse e-mail liée au compte de l'utilisateur (le cas échéant). Il contient soit un lien pour continuer la demande de modification de mot de passe, soit un avis indiquant le refus de la demande. (L'utilisateur dispose d'un temps limité pour cliquer sur le lien qui le mènera à une boîte de dialogue qui lance l'opération de modification du mot de passe.) La demande de changement de mot de passe fournit des options supplémentaires pour la vérification de l'identité :

  • Demander aux utilisateurs de répondre à reCAPTCHA. Requiert des questions CAPTCHA (réponse à) à validation par l'utilisateur évaluées par un modèle à collaboration humaine massive.
  • Demander aux utilisateurs de répondre aux questions de sécurité. Permet aux utilisateurs finaux de réinitialiser leur mot de passe en fonction de questions de sécurité (paires identification-phrase et phrase-réponse), qu’ils choisissent et configurent à l’avance (par exemple lors d'une connexion normale).

En cas d'observation de tentatives de connexion infructueuses ou de réponses aux questions d'identification sont observées...

La réinitialisation de l'utilisateur est soumise aux stratégies de tentatives de connexion incorrectes, même lors de l'utilisation de questions d'identification. Par exemple :

  • Les paramètres de verrouillage du nom d'utilisateur s'appliquent si les réponses aux questions d'identification sont incorrectes à n reprises.
  • Les adresses IP sont bloquées lorsque des noms d'utilisateur erronés (inconnus) sont utilisés à plusieurs reprises (n fois).

Liens par e-mail et délai d'expiration de la réinitialisation du mot de passe

La durée de validité du lien de demande de modification de mot de passe est déterminée par le paramètre Password request codes should expire after (Les codes de demande de mot de passe expirent après). Chaque demande de modification de mot de passe est associée à un code ID unique qui l'identifie sur le serveur. Le code ID est fourni dans le lien envoyé à l'adresse e-mail de l'utilisateur. Si ce code ID n'est pas utilisé dans le délai spécifié par ce paramètre, il expire et ne peut plus être utilisé pour réinitialiser le mot de passe de l'utilisateur.