Changement de mot de passe Active Directory

Changer de mots de passe régulièrement est une habitude saine, puisque cela aide à empêcher les cyber-attaques dues à des informations d’identification volées. Les experts en sécurité suggèrent que les administrateurs doivent assurer aux utilisateurs de changer leurs mots de passe avec des stratégies d’expiration de mot de passe efficaces.

Les utilisateurs peuvent être avertis via e-mail par l’administrateur que leur mot de passe doit être changé avant qu'il n’arrive à expiration. Mais dans de nombreuses organisations, les utilisateurs peuvent seulement changer leur mot de passe de domaine lorsqu'ils sont connectés au réseau de la société. Alors que se passe-t-il si les utilisateurs ne sont pas connectés au LAN (utilisateurs VPN et OWA) lorsque leurs mots de passe sont sur le point d’expirer ?

Modification de mot de passe en libre-service

ADSelfService Plus est une solution de changement de mot de passe en libre-service basée sur le Web qui fournit un portail sécurisé permettant aux utilisateurs de domaine de changer leurs propres mots de passe. Les utilisateurs peuvent cliquer sur l’onglet Changer de mot de passe sur le portail Web et changer leurs mots de passe de connexion Windows AD. Les utilisateurs changent leurs mots de passe en fonction de la stratégie de mot de passé décidée par l'administrateur, qui sera affichée pendant la définition du mot de passe.

Changement de mot de passe à distance

Avec ADSelfService Plus, les utilisateurs peuvent changer leurs mots de passe de domaine à distance. D’habitude, lorsque le mot de passe de domaine d'un utilisateur est modifié, le changement est reflété dans AD mais pas sur la machine locale de l’utilisateur. Cela signifie que les informations d’identification placées en cache sur la machine de l’utilisateur doivent être mises à jour pour que le changement prenne effet, autrement il ne pourra pas se connecter au système.

Pour éviter cela, ADSelfService Plus vous donne un agent de connexion, qui place un bouton Réinitialiser le mot de passe/Déverrouiller le compte sur l’écran de connexion. Les utilisateurs peuvent cliquer sur ce bouton pour réinitialiser leurs mots de passe oubliés à partir de l’écran de connexion. Après une réinitialisation de mot de passe réussie, le mot de passe placé dans le cache est mis à jour sur les machines des utilisateurs.

Comment changer votre mot de passe de domaine AD en utilisant ADSelfService Plus :

• Connectez-vous au portail utilisateur ADSelfService Plus et allez dans l’onglet Modifier le mot de passe.
• Saisissez votre mot de passe de domaine ou Active Directory existant dans le champ Ancien mot de passe.
• Fournissez un Nouveau mot de passe, et ressaisissez-le dans le champ Confirmer le nouveau mot de passe. Assurez-vous que votre nouveau mot de passe est conforme aux exigences de complexité.
• Cliquez sur Modifier le mot de passe.

Pourquoi utiliser ADSelfService Plus pour les modifications de mot de passe AD

Les utilisateurs peuvent avoir besoin d’une modification de mot de passe quand:

• Un utilisateur de domaine veut changer ses mots de passe sur le point d’expirer.
• L'administrateur avertit l’utilisateur du domaine qu’il doit changer son mot de passe.
• Un administrateur réinitialise le mot de passe d'un utilisateur de domaine à la valeur par défaut.

Modifier un mot de passe vs réinitialiser un mot de passe

La réinitialisation de mot de passe est le processus par lequel le mot de passe est mis à jour lorsque le mot de passe actuel est oublié. ADSelfService Plus permet aux utilisateurs de domaine d’effectuer une réinitialisation de mot de passe en libre-service à partir de son portail en libre-service en vérifiant les identités des utilisateurs avec de multiples techniques d'authentification configurées pendant l’inscription.

La modification de mot de passe ne requiert pas de processus de validation. Elle requiert seulement que l’utilisateur se connecte au portail d’utilisateur final ADSelfService Plus. Lorsqu’un utilisateur modifie son mot de passe, il fournit l’ancien mot de passe ainsi que le nouveau mot de passe. Si l’ancien mot de passe est correct et que le nouveau mot de passe suit la stratégie de mot de passe, le mot de passe sera modifié avec succès.

Se conformer aux réglementations sur la confidentialité des données via les stratégies de mot de passe

Pour assurer une protection des données organisationnelles, il est vital d'assurer la sécurité des mots de passe. ADSelfService Plus aide à se conformer aux exigences relatives à l’authentification et aux mots de passe des réglementations informatiques comme HIPAA, GDPR, NIST, CJIS, et PCI DSS via ses fonctionnalités comme:

• Exécuteur de stratégie de mot de passe: Configurez les exigences de mot de passe avancées en plus du domaine par défaut et de la stratégie de mot de passe affinée disponible dans Active Directory pendant la modification du mot de passe. Les stratégies de mot de passe avancées fournies incluent :
  1. Bannissement des mots de dictionnaire et séquences clavier.
  2. Interdisez l’utilisation de caractères consécutifs du nom d'utilisateur et d'anciens mots de passe.
  3. Limitez l’utilisation des palindromes.

  Les exigences en matière de mot de passe qui peuvent être activées incluent la limitation des caractères consécutifs, l’interdiction d’utiliser des chaînes de caractères provenant d'anciens mot de passe et nom d’utilisateur, et l’obligation d’utiliser un type spécifique en guise de premier caractère.

• Intégration de Have I Been Pwned ? Vérifiez chaque mot de passe créé pendant la modification ou la réinitialisation via ADSelfService Plus avec la base de données Have I Been Pwned? Des mots de passe précédemment violés. Si le nouveau mot de passe est présent dans la base de données, l’utilisateur ne peut plus l’utiliser.
• Authentification multifacteur: Configurez des méthodes supplémentaires d'authentification pour vérifier l’identité de l’utilisateur, en plus du nom d’utilisateur et du mot de passe, pendant la connexion au produit pour modification de mot de passe. Les administrateurs peuvent choisir entre les dix-huit méthodes d'authentification prises en charge incluant Yubico Authenticator, Google Authenticator, TOTP, informations biométriques, etc.