Sécurisation des mots de passe Internet

Les mots de passe Internet peuvent faire l'objet d'attaques malveillantes. Toutefois, il existe des mesures que vous pouvez prendre pour sécuriser davantage les mots de passe Internet.

Pourquoi et quand exécuter cette tâche

Voici quelques exemples d'attaques typiques perpétrées sur les mots de passe :

  • Une attaque vise à lire tous les mots de passe hachés dans l'annuaire Domino®. Le mot de passe Internet d'un utilisateur est stocké sous une version hachée de l'enregistrement Personne de l'utilisateur dans l'annuaire Domino®. L'annuaire est accessible à tous les utilisateurs du système. Vous pouvez vous protéger contre ce type d'attaque en utilisant les listes de contrôle d'accès étendues (xACL) pour bloquer l'accès aux mots de passe hachés.
  • Il existe un autre type d'attaque qui consiste à deviner les mots de passe pendant l'authentification. Dans ce type d'attaque, les utilisateurs peuvent tenter de s'authentifier en usurpant l'identité d'un individu et essayer de deviner les mots de passe. Pour vous protéger contre ce type d'attaque, utilisez plusieurs formats de mot de passe sécurisés, difficiles à deviner, ou activez la fonction de verrouillage des mots de passe Internet sur le serveur.

Utilisez une ou plusieurs des fonctions suivantes pour protéger l'accès aux mots de passe Internet stockés dans l'annuaire Domino®, ou les rendre plus difficiles à deviner.

  • XACLs.
  • Format de mot de passe mieux protégé
  • Verrouillage de mot de passe Internet

A l'exception des paramètres de journalisation, les options décrites précédemment peuvent également être spécifiées dans une politique utilisateur. Cette fonctionnalité est utile pour un administrateur souhaitant uniquement appliquer le verrouillage de l'accès Internet par mot de passe à un sous-ensemble d'utilisateurs au sein d'une organisation. Dans ce cas, ces paramètres peuvent être définis pour ce groupe.

Utilisation des listes xACL pour protéger les mots de passe Internet

Une façon de protéger les mots de passe Internet consiste à utiliser les listes LCA étendues, ou xACL, pour contrôler l'accès en fonction des niveaux de la structure hiérarchique de noms, mais aussi au niveau du masque et du champ. Pour les mots de passe stockés dans l'annuaire Domino®, les administrateurs peuvent configurer des listes xACL pour limiter l'accès aux mots de passe Internet aux utilisateurs pour qu'ils aient accès à leurs propres mots de passe et aux administrateurs pour autoriser les changements de mot de passe d'ordre administratif.

Procédure

  1. D'abord, activez l'accès étendu de l'annuaire Domino® :
    1. Ouvrez la base de données et sélectionnez Fichier > Application > Contrôle d'accès.
    2. Vérifiez si vous possédez au moins l'accès Concepteur dans la liste de contrôle d'accès (LCA) de la base.
    3. Cliquez sur Avancé, puis sur Activer l'accès étendu.
    4. Cliquez sur Oui pour poursuivre lorsque vous recevez l'invite : L'activation du contrôle d'accès étendu met en oeuvre des vérifications de sécurité supplémentaires. Pour plus de détails, consultez l'aide de Domino Administrator. Souhaitez-vous poursuivre ?
    5. Si l'option avancée de la LCA de la base Préserver la cohérence de la liste de contrôle d'accès sur toutes les répliques, l'invite suivante s'affiche : Le contrôle d'accès cohérent doit d'abord être activé. Voulez-vous l'activer maintenant ? Cliquez sur Oui.
    6. Cliquez sur OK à l'invite Si plusieurs administrateurs gèrent le contrôle d'accès de cette base, activez le verrouillage de documents sur la base afin d'éviter les conflits.
    7. Cliquez sur OK dans la boîte de dialogue Liste de contrôle d'accès.
    8. Lorsque le message Activation des restrictions de contrôle d'accès étendu. Cette opération peut prendre quelques minutes. s'affiche, cliquez sur OK.
  2. Ensuite, configurez l'accès étendu aux mots de passe protégés :
    1. Ouvrez la base de données et sélectionnez Fichier > Application > Contrôle d'accès.
    2. Cliquez sur Accès étendu. La boîte de dialogue Accès étendu s'affiche.
    3. Dans le panneau Cible, sélectionnez la racine [ /] et cliquez sur Ajouter.
    4. Dans le panneau Liste d'accès, sélectionnez Par défaut.
    5. Cliquez sur Accès aux masques et aux champs. La boîte de dialogue Form and Field s'affiche.
    6. Dans la zone de liste Masques, sélectionnez Personne. Laissez en blanc les paramètres d'accès des masques.
    7. Dans la zone de liste Champs :
    8. Cliquez sur OK.
    9. Répétez ce processus pour les paramètres HttpPassword et dspHttpPassword (s'il s'affiche) dans le masque Personne des entrées de la liste d'accès suivantes :
      Tableau 1. Entrées de la liste d'accès dans le masque Personne
      Entrée de la liste d'accès Paramètre d'accès en lecture Paramètre d'accès en écriture
      Auto Permettre Permettre
      [groupe d'administrateurs local] Permettre Permettre
      [groupe de serveurs local] Permettre Permettre
    Remarque : Si l'accès anonyme a été défini précédemment dans la liste d'accès, définissez les paramètres d'accès en lecture et en écriture des champs HTTPPassword et dspHTTPPassword (s'il s'affiche) sur Refuser dans le masque Personne.
    Remarque : Une fois que les listes xACL sont activées pour un annuaire Domino®, l'accès LDAP anonyme n'est pas contrôlé par la liste des champs dans le document Tous les documents Serveur. Comme le paramètre xACL par défaut de l'entrée Anonyme est Pas d'accès, une fois que les listes xACL sont activées, toutes les recherches LDAP anonymes échoueront.

Utilisation d'un format de mot de passe mieux protégé

Lorsque vous entrez un mot de passe Internet et enregistrez le document Personne, Domino® effectue automatiquement un hachage unidirectionnel du champ de mot de passe Internet. Pour améliorer le mot de passe par défaut, utilisez un format de mot de passe mieux protégé. Vous pouvez mettre à niveau le format du mot de passe pour les documents Personne qui existent déjà ou utiliser automatiquement ce format plus sécurisé pour tous les nouveaux documents Personne.

Pour les documents Personne existants

Procédure

  1. Dans Domino® Administrator, cliquez sur Personnes et Groupes, puis sélectionnez les documents pour lesquels vous souhaitez utiliser un mot de passe plus sécurisé.
  2. Choisissez Actions > Mettre à niveau vers un mot de passe Internet plus sécurisé.
  3. Si tous les serveurs du domaine Domino® exécutent la version 8.0.1 ou une version supérieure, sélectionnez Oui - Vérification de mot de passe compatible avec Notes/Domino version 8.01 ou suivante. Sinon, sélectionnez Oui - Vérification de mot de passe compatible avec Notes/Domino version 4.6 ou suivante.

Pour les nouveaux documents Personne

Procédure

  1. Dans Domino® Administrator, cliquez sur Configuration et sélectionnez Tous les documents Serveur.
  2. Choisissez Actions > Editer profil d'annuaire.
  3. Si tous les serveurs du domaine Domino® exécutent la version 8.0.1 ou une version supérieure, sélectionnez Oui - Vérification de mot de passe compatible avec Notes/Domino version 8.01 ou suivante. Sinon, sélectionnez Oui - Vérification de mot de passe compatible avec Notes/Domino version 4.6 ou suivante.
  4. Enregistrez, puis fermez le document.
    Remarque : Servez-vous du format de mot de passe le plus sécurisé si vous décidez de synchroniser le mot de passe d'un utilisateur Internet avec son mot de passe Notes®.
    Conseil : Pour éviter que des sources malveillantes ne devinent les mots de passe, il suffit de les rendre plus difficiles à deviner. Vous pouvez utiliser des mots de passe plus longs et plus complexes, utiliser une combinaison variée de caractères, éviter d'utiliser des mots réels, etc.

Utilisation du verrouillage de l'accès Internet par mot de passe

Pourquoi et quand exécuter cette tâche

Le verrouillage de l'accès Internet par mot de passe permet aux administrateurs de définir une valeur seuil des échecs d'authentification des mots de passe Internet pour les utilisateurs Domino® Web et Domino® Web Access. Cela permet d'éviter les attaques en force et les attaques par dictionnaire sur des comptes Internet en bloquant l'accès aux utilisateurs qui ne réussissent pas à se connecter avec un nombre prédéfini de tentatives. Les informations sur les échecs d'authentification et les verrouillages de comptes sont gérées dans l'application de verrouillage Internet dans laquelle l'administrateur peut effacer les tentatives infructueuses et déverrouiller les comptes utilisateur.

Notez que cette fonction est exposée aux attaques DoS (Denial of Service). Au cours d'une attaque DoS, des utilisateurs malveillants empêchent de manière explicite les utilisateurs légitimes d'utiliser un service. Dans le cas du verrouillage de l'accès Internet par mot de passe, des attaques peuvent empêcher des utilisateurs Internet légitimes de se connecter sur un serveur Domino® en simulant des tentatives de connexion qui échouent.

Le verrouillage de l'accès Internet par mot de passe présente certaines limites :

  • Vous ne pouvez utiliser le verrouillage de l'accès Internet par mot de passe qu'avec Web Access. D'autres protocoles et services Internet, comme LDAP, POP, IMAP, DIIOP et HCL Sametime® ne sont actuellement pas pris en charge. Cependant, le verrouillage de l'accès Internet par mot de passe peut être utilisé si le mot de passe employé pour l'authentification est stocké sur un serveur LDAP.
  • Vous ne pourrez pas profiter de la fonctionnalité de verrouillage de l'accès Internet par mot de passe si des filtres DSAPI personnalisés sont en cours d'utilisation, car le filtre DSAPI est une manière d'ignorer l'authentification Notes/Domino.

Pour une connexion unique, le serveur Domino®, sur lequel la fonction de verrouillage de l'accès Internet par mot de passe est activée, doit être également le serveur qui génère la clé de connexion unique. Si la clé est récupérée par une autre source (un autre serveur Domino® ou un serveur WebSphere®), le jeton SSO est toujours valide sur le serveur Domino®, même si le verrouillage de l'accès Internet par mot de passe est activé.

Base de verrouillage de l'accès Internet

Pourquoi et quand exécuter cette tâche

La base de verrouillage de l'accès Internet (inetlockout.nsf) est créée à partir de inetlockout.ntf :

  • Au cours du démarrage si la fonction de verrouillage de l'accès Internet est activée.
  • La première fois que la base de verrouillage doit être consultée ou enregistrée. Aucun redémarrage n'est nécessaire, mais un délai de 10 minutes doit s'écouler entre le moment où la fonction est activée et le moment de l'accès en lecture ou en écriture à la base de verrouillage.

Par défaut, la liste LCA de la base de verrouillage autorise un accès gestionnaire uniquement au groupe Administrateurs. L'accès est refusé avec les paramètres Par défaut et Anonyme. Cependant, la liste LCA de la base peut être modifiée pour autoriser les utilisateurs et les groupes à accéder aux utilisateurs avec autorisation de déverrouiller les utilisateurs.

Pour chaque utilisateur qui se connecte à Domino® avec un nom et un mot de passe Internet, les informations sur l'état de verrouillage sont tenues à jour dans la base de verrouillage de l'accès Internet, avec notamment le nom d'utilisateur, le nombre de tentatives ayant échoué et l'état de verrouillage. Les tentatives de verrouillage ne sont pas enregistrées dans la base correspondante si l'utilisateur est déjà verrouillé, ou si l'utilisateur se connecte avec succès. Cependant, comme la base de verrouillage de l'accès Internet tient à jour les données sur l'état de verrouillage, DDM (Domino® Domain Manager) est l'emplacement où doivent être stockées les tentatives de connexion ayant échoué et les données d'historique de verrouillage, vous fournissant ainsi l'historique des tentatives de connexion ayant échoué.

Toute modification des informations d'accès des utilisateurs stockés dans la base de verrouillage de l'accès Internet est immédiatement implémentée. Il n'est pas nécessaire de redémarrer le serveur HTTP pour que les modifications prennent effet.

La base de verrouillage contient deux vues :

  • Locked Out Users : contient des enregistrements pour les utilisateurs qui ont dépassé la valeur limite des tentatives de saisie des mots de passe ayant échoué et qui ne peuvent plus se connecter au serveur avec leur nom et mot de passe Internet.
  • Login Failures : contient les enregistrements des utilisateurs avec le nombre de tentatives d'authentification ayant échoué.

Les champs sont identiques pour les deux vues :

  • Server name : serveur sur lequel l'utilisateur a été verrouillé ou qui présente des tentatives d'authentification ayant échoué
  • User name : nom de l'utilisateur qui est verrouillé ou qui a enregistré des tentatives d'authentification ayant échoué
  • Locked out : dans la vue Login Failures, cette valeur peut être Oui ou Non. Dans la vue Locked Out Users, la valeur Oui est définie.
  • Failed attempts : affiche le nombre actuel de tentatives d'authentification ayant échoué pour chaque utilisateur. Dans la vue Locked Out Users, correspond au paramètre de la valeur seuil.
  • First failure time : affiche la date et l'heure du premier échec d'authentification
  • Last failure time : affiche la date et l'heure du dernier échec d'authentification Il peut s'agir également de l'heure à laquelle l'utilisateur a été verrouillé. Si un utilisateur est verrouillé, mais continue de se connecter, cette heure n'est pas mise à jour.

Pour déverrouiller un utilisateur, supprimez l'enregistrement correspondant.

Vous pouvez marquer plusieurs enregistrements pour déverrouillage ou suppression en cliquant sur Mark for Delete/Unlock dans la barre d'outils, puis les supprimer en cliquant sur Delete Marked Items.

Il est recommandé de vérifier au préalable que la base de verrouillage de l'accès Internet ne contient que des enregistrements d'utilisateurs valides. Supprimez les noms des utilisateurs qui ont changé de nom ou qui ont été retirés comme utilisateurs du serveur Domino®. Le nettoyage de la base n'est pas automatique. Même si les enregistrements utilisateurs qui sont obsolètes ne nuisent pas au fonctionnement normal, un nombre trop important d'enregistrements dans la base peut nuire aux performances du processus d'authentification Internet.

Vous pouvez créer des masques de connexion personnalisés pour la base de verrouillage de l'accès Internet qui peuvent servir aux utilisateurs à indiquer que leur compte a été verrouillé.

Réplication de la base de verrouillage de l'accès Internet

Pourquoi et quand exécuter cette tâche

En tant qu'administrateur, vous devez décider si la réplication de la base de verrouillage de l'accès Internet sur d'autres serveurs est une stratégie utile. L'avantage principal de la réplication de la base est la réplication des informations de verrouillage sur plusieurs serveurs. Vous pouvez accéder à une réplique quelconque et connaître l'état de verrouillage de plusieurs serveurs, sans avoir à ouvrir la base de verrouillage de l'accès Internet sur chaque serveur sur lequel la fonction de verrouillage de mot de passe Internet est activée.

Cependant, la réplication présente quelques inconvénients. Par exemple, des problèmes de réplication peuvent se produire si votre réseau est l'objet d'attaques ou d'une attaque de refus de service DoS (Denial-of-Service). En outre, si la réplication est lente, la vérification de la base de verrouillage sur un serveur donné ne permet pas nécessairement de détecter un utilisateur verrouillé avant la fin de la réplication (cependant, il est toujours possible d'ouvrir la réplique directement sur le serveur en question).

La base de verrouillage de l'accès Internet est créée avec un ID de réplique qui est identique pour toutes les répliques sur tous les serveurs sur lesquels la fonction de verrouillage de mot de passe Internet est activée dans un domaine. Par défaut, la réplication est désactivée temporairement pour les bases de verrouillage de l'accès Internet. Cela permet d'éviter les problèmes de réplication décrits plus haut. Pour répliquer la base sur un autre serveur, désactivez l'option Désactiver temporairement la réplication de cette réplique dans la section Autres de la boîte de dialogue Paramètres de réplication. Vous pouvez ensuite configurer la réplication de la base (réplication planifiée ou en grappe).

Remarque : Lorsque vous répliquez cette base sur d'autres serveurs, les informations relatives aux tentatives non valides sont calculées pour chaque serveur individuel. Par exemple, si le seuil de 'Jean Dubois' est trois et s'il a effectué deux tentatives non valides sur le serveur A et une sur le serveur B, il n'est verrouillé sur aucun des deux serveurs. Les tentatives ne sont pas combinées pour un total de trois. La raison d'être de la réplication est la facilité d'administration, par la définition de seuils globaux.

Configuration du verrouillage de l'accès Internet par mot de passe

Pourquoi et quand exécuter cette tâche

Le verrouillage de l'accès Internet par mot de passe est activé dans le document des paramètres de configuration du serveur. Cela permet aux administrateurs d'activer la fonction de verrouillage Internet sur plusieurs serveurs.

Il est recommandé d'activer l'option Moins de variantes de noms et plus de sécurité du document Serveur. Cela limite le problème d'ambiguïté des noms. Domino® prend en charge la connexion au serveur Web avec une forme abrégée du nom d'utilisateur (si le mot de passe est correct), même si ce nom abrégé correspond à deux personnes ou plus dans l'annuaire. Les connexions non valides qui se produisent lorsqu'un utilisateur tape un nom ambigu n'aboutissent pas pour chaque correspondance ambiguë. Il est impossible de savoir qui est l'utilisateur qui a essayé de se connecter. En outre, l'effacement des enregistrements de tentatives de connexion à l'aide du paramètre Expiration du verrouillage ne s'applique qu'à l'utilisateur dont le nom et le mot de passe correspondent.

Procédure

  1. A partir de l'administrateur Domino®, cliquez sur Configuration > Serveur > Configurations. Ouvrez le document des paramètres de configuration pour le serveur sur lequel vous souhaitez activer la fonction de verrouillage de l'accès Internet par mot de passe.
  2. Cliquez sur Sécurité. Trois paramètres sont disponibles pour paramétrer l'option Appliquer le verrouillage de l'accès Internet par mot de passe :
    • Oui : le serveur applique le verrouillage de l'accès Internet par mot de passe. Cette option doit être activée pour que la fonction de verrouillage de l'accès Internet par mot de passe fonctionne.
    • Non : le serveur n'applique pas le verrouillage de l'accès Internet par mot de passe.
    • (Blanc) : si ce paramètre reste vierge, alors l'option Appliquer n'est pas nécessairement désactivée, mais permet au contraire à un autre document de configuration serveur (peut-être un qui s'applique à tous les serveurs) de déterminer si le verrouillage de l'accès Internet par mot de passe est activé pour ce serveur.
      Remarque : Si le verrouillage de l'accès Internet par mot de passe n'est pas appliqué dans le document Serveur, tous les autres paramètres de verrouillage Internet, par exemple ceux définis dans un document de politique, sont désactivés.
  3. Lorsque le mot de passe Internet est activé, renseignez les champs suivants :
    Tableau 2. Paramètres de verrouillage de l'accès Internet par mot de passe
    Paramètre Spécifier
    Paramètres de journalisation Vous pouvez choisir le type d'événements à consigner sur la console et dans DDM. Le nom d'utilisateur et l'adresse IP sont également consignés.
    • Si le paramètre Verrouillages est activé, les événements dans lesquels l'utilisateur a été verrouillé et ceux dans lesquels un utilisateur tente de s'authentifier, mais est déjà verrouillé, sont consignés. Cette option est activée par défaut.
    • Si Echecs est activé, toutes les tentatives d'authentification infructueuses sont consignées. L'adresse IP et le nom d'utilisateur du client qui tente de s'authentifier sont également consignés dans le journal.
    Nombre de tentatives maximal par défaut autorisé : Permet d'indiquer le nombre maximum de saisies de mot de passe incorrectes autorisées avant de verrouiller le compte utilisateur. La valeur par défaut est 5. Une fois que son compte est verrouillé, l'utilisateur doit être déverrouillé avant que de nouvelles valeurs de ce paramètre prennent effet pour cet utilisateur.

    Si un utilisateur possède une valeur différente pour ce paramètre dans leur politique utilisateur, celle-ci remplace la valeur définie dans le document de configuration serveur.

    Remarque : Si cette valeur est égale à 0, le nombre de tentatives autorisées est illimité.
    Expiration de verrouillage par défaut : Permet de définir la durée d'application d'un verrouillage. A l'issue de ce délai, le compte utilisateur est automatiquement déverrouillé à la prochaine tentative d'authentification. En outre, toutes les tentatives ayant échoué sont effacées.
    Remarque : Si cette valeur est égale à 0, le verrouillage n'expire pas automatiquement. Le compte doit être déverrouillé manuellement.
    Intervalle de tentatives maximal par défaut : Permet d'indiquer la durée de conservation des tentatives de saisie de mot de passe incorrectes dans la base de verrouillage à l'issue de laquelle elles sont effacées en cas d'authentification réussie. La valeur par défaut est de 48 heures.

    Cela ne s'applique pas aux utilisateurs qui sont verrouillés. Si un utilisateur est verrouillé, seule l'option manuelle permet d'effacer les échecs de connexion et le déverrouillage du compte, dans la base de verrouillage de l'accès Internet, ou à l'expiration du verrouillage.

    Remarque : Si cette valeur est égale à 0, chaque connexion réussie, pour un utilisateur non verrouillé, efface toutes les tentatives ayant échoué de cet utilisateur.
    Remarque : A l'exception des paramètres de journalisation, les options décrites précédemment peuvent également être spécifiées dans une politique utilisateur. Cette fonctionnalité est utile pour un administrateur souhaitant uniquement appliquer le verrouillage de l'accès Internet par mot de passe à un sous-ensemble d'utilisateurs au sein d'une organisation. Dans ce cas, ces paramètres peuvent être définis pour ce groupe.