Gestion Des Mots De Passe De L'utilisateur - Stormshield SN160 Manuel D'utilisation Et De Configuration

configuration (Authentification > Portail captif). Le certificat par défaut du boitier a comme nom
(CN) le numéro de série du boitier et il est signé par deux autorités dont les noms sont NETASQ -
Secure Internet Connectivity ("O") / NETASQ Firewall Certification Authority ("OU") et Stormshield
("O") / Cloud Services ("OU").
Pour valider un accès sécurisé, le navigateur doit faire confiance à l'autorité de certification qui a
signé le certificat utilisé, et appartenant à la liste des autorités de certification de confiance du
navigateur. Ainsi pour valider l'intégrité du boîtier, il faut donc avant la première connexion, ajouter
les autorités NETASQ et Stormshield à la liste des autorités de confiance du navigateur. Ces
autorités sont disponibles sur les liens
http://pki.stormshieldcs.eu/products/root.crt. Si le boîtier a configuré un certificat signé par une
autre autorité, il faut y ajouter cette autorité à la place de celles de NETASQ et Stormshield.
En conséquence, la connexion initiale au boîtier ne déclenchera plus d'avertissement du
navigateur relatif à l'autorité de confiance. En revanche, un message avertit toujours que le
certificat n'est pas valide. En effet, le certificat définit le firewall par son numéro de série, et non
par son adresse IP. Pour éviter ce dernier avertissement, il faut spécifier au serveur DNS
l'association entre le numéro de série et l'IP du firewall.
Le mot de passe par défaut de l'utilisateur 'admin' (super administrateur) doit être modifié
lors de la première utilisation du produit. Ce changement est proposé via l'Assistant de
première installation, dans l'écran Administration de l'équipement. Dans l'interface
d'administration web, ce mot de passe peut être modifié via le module Administrateur
(menu Système), onglet Compte Admin.
Ce mot de passe doit être défini selon les bonnes pratiques décrites dans la section
suivante, partie Gestion des mots de passe de l'utilisateur.
Ce mot de passe ne doit être en aucun cas sauvegardé dans le navigateur Web.

Gestion des mots de passe de l'utilisateur

Au cours de l'évolution des technologies de l'information, de nombreux mécanismes
d'authentification ont été inventés et mis en place afin de garantir une meilleure sécurité des
systèmes d'information des entreprises. Cette multiplication des mécanismes a entraîné une
complexité qui contribue aujourd'hui à détériorer la sécurité des réseaux d'entreprises.
Les utilisateurs (néophytes et non formés) choisissent des mots de passe "simplistes", tirés
généralement de leur vie courante et la plupart du temps correspondant à un mot contenu dans
un dictionnaire. Ces comportements entraînent, bien entendu, une dégradation notable de
sécurité du système d'information.
Il faut prendre conscience que l'attaque par dictionnaire est un "outil" plus que performant. Une
étude de 1993 montre déjà cet état de fait. La référence de cette étude est la suivante :
(http://www.klein.com/dvk/publications/). Ce qui est le plus frappant dans cette étude est
sûrement le tableau présenté ci-dessous (basé sur un mot de passe de 8 caractères) :
Type de mot de passe
Lexique anglais 8 caract. et +
casse minuscule uniquement
casse minuscule + 1 majuscule
minuscules et majuscules
Page 14/464
NOTE
Nombre de
caractères
spécial
26
26/spécial
52
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
http://pki.stormshieldcs.eu/netasq/root.crt
Nombre de mots de passe
250000
208827064576
1670616516608
53459728531456
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
BIENVENUE
et
Temps de Cracking
< 1 seconde
9 heures
3 jours
96 jours