Nous avons tous utilisé les stratégies de mots de passe Microsoft depuis de nombreuses années maintenant. C’était suffisant, dans la plupart des cas, jusqu'à aujourd’hui, en raison des exigences de sécurité des mots de passe. Mais, il y a des inconvénients avec la solution Microsoft, que toutes les sociétés doivent prendre en compte pour se protéger des pirates. Même avec Microsoft Windows Server 2012 R2, la stratégie de mot de passe est faible et omet certaines fonctions clés que toutes les politiques de mot de passe doivent inclure.
Tout d'abord, toutes les stratégies de mots de passe doivent s’intégrer dans la structure de service d'annuaire, rendant le déploiement des paramètres plus facile. Les stratégies de mots de passe Microsoft, même les stratégies granulaires de mot de passe (FGPP), ne fonctionnent pas avec les unités d'organisation (OU) que les entreprise construisent au fur et à mesure.
Les stratégies de mots de passe qui se basent sur les stratégies de groupe ont une "taille unique", forçant tous les utilisateurs dans ensemble du domaine à se conformer aux mêmes exigences. Les FGPP permettent de multiples politiques de mot de passe dans un même domaine, mais elles ne sont pas déployées en utilisant les stratégies de groupe et ne peuvent pas s’appliquer aux utilisateurs en fonction de leur appartenance à un groupe.
Ensuite, les études ont montré que les humains suivent un certain schéma dans la construction de leurs mots de passe. Par exemple, la plupart des mots de passe des utilisateurs commencent par une lettre majuscule, ne comprennent pas de caractères spéciaux ($, %, &, etc.), et sont souvent incrémentés d’un seul chiffre pour les nouveaux mots de passe (motdepasse1, motdepasse2, motdepasse3, etc.). Avec ces concepts à l'esprit, un attaquant peut éliminer les caractères spéciaux et utiliser les modèles communs afin d’essayer de casser les mots de passe. Une bonne politique de mot de passe doit forcer des contrôles pour empêcher les utilisateurs de créer ces types de mots de passe.
Enfin, afin de se rappeler facilement de leurs mots de passe, les utilisateurs utilisent souvent des mots qui peuvent être trouvés dans des dictionnaires de force brute. Ces dictionnaires contiennent les mots couramment utilisés (P@$$w0rd, Am3r!C@, etc.). Une bonne politique de mot de passe doit permettre l'importation de plusieurs dictionnaires et refuser tout mot de passe qui contient un mot trouvé dans l'un des dictionnaires.
En répondant à ces limitations, une organisation peut augmenter le niveau de sécurité de ses mots de passe. Sans ces caractéristiques, l’entreprise laisse trop de liberté à l'utilisateur final qui pourrait créer un mot de passe faible et facile à pirater.