Gestion des mots de passes dans les z’internet aujourd’hui

Allez le vendredi c’est permis ! un peu de lecture avant ce week-end pour se détendre…
un TP rapide sur comment qu’on gère les mots de passes quand on est un g33k un vrai (avec des poils et tout)

C’est quoi un bon mot de passe ?

Tout d’abord quelques rappels théoriques sur comment on gère des mots de passes :
Un bon mot de passe, entre autre :

  • doit respecter des règles de complexité (genre pas : 1234, azerty ou motdepassse)
  • doit être renouvelé régulièrement (genre : date pas de 1999)
  • doit être différent selon ce qu’il protège (banque != torrents)
  • doit pas être stocké en clair ou accessible à tiers (pas sous le clavier ou sur la porte du réfrigérateur donc)

Toutes ces bonnes pratiques sont listés dans le doc de l’ANSSI sur ce sujet, disponible ici :

NP_MDP_NoteTech.pdf

Comment ça fonctionne dans la vraie vie ?

En aucun cas un site internet ne stocke (ou « ne devrait stocker » en tous cas) votre mot de passe en clair. Un bon site (non, n’est pas un site mort…) stocke un « hash, empreinte ou encore condensat de votre mot de passe (Exemple d’algorithme de hash : MD5, … Lire la suite

Microsoft Security Compliance Manager et GPO de sécurités

Un rapide post pour vous faire part d’une découverte faite ce jour d’une petite perle de Microsoft :

Microsoft  Security Compliance Manager

Ce « petit » outil a le bon gout de donner l’ensemble des recommandations de Microsoft en matière de politique de sécurité, et ce, produit par produit, et de nous permettre de bien les gérer.

=> Papa, maman et le café, quoi.

C’est un peu gros, mais je prends l’exemple du serveur standard 2008R2 qui a lui seul se prend 234 réglages unique. Pour vous permettre de gérer vos GPOs, on peut aussi définir nos propres « baselines » dans l’outil à partir de celles par défaut proposée. Et comme ils ont pensé à tout et que se taper la comparaison 1 à 1 des 234 settings avec vos GPO maisons peut s’avérer fastidieux.

L’outil propose d’importer des GPO existantes (genre les nôtres en places) et de comparer, corriger, puis fusionner avec celle proposée en standard par Microsoft :

Et une fois qu’on a nos GPOs, celles de Microsoft et nos objets résultat ; on se dit qu’on aimerait bien passer tout ça au mixeur et obtenir une jolie GPO toute belles !
=> Il suffit de demander … Lire la suite