Configurer la politique du niveau de sécurité des mots de passe
Résumé: Les mots de passe faibles peuvent facilement être compromis lors d’attaques par force brute <https://en.wikipedia.org/wiki/Brute-force_attack>`__. Les utilisateurs malveillants peuvent ainsi accéder à certains éléments du serveur et par conséquent dégrader les sites Web hébergés, envoyer du spam, voler des informations, etc.
Vous pouvez configurer une politique pour définir le niveau de sécurité du mot de passe pour l’ensemble du serveur afin de renforcer le niveau de sécurité minimum pour les nouveaux mots de passe créés sur le serveur. Les mots de passe forts rendent les attaques par force brute difficiles voire quasiment impossibles.
Le niveau de sécurité d’un mot de passe définit sa résistance face aux attaques par force brute ou aux tentatives de le deviner. Ce niveau de sécurité doit remplir certains critères comme :
- La longueur du mot de passe.
- L’utilisation ou non de lettres minuscules et majuscules.
- Le nombre de caractères de types différents (chiffres, caractères spéciaux, etc.).
- L’utilisation ou non d’un ou plusieurs mots figurant dans les dictionnaires.
Lorsque les utilisateurs définissent des mots de passe faibles (par exemple, parce qu’ils sont plus faciles à se rappeler), ils peuvent involontairement rendre le serveur plus vulnérable aux attaques. Par exemple :
- Quand le mot de passe d’une messagerie est compromis, l’attaquant peut utiliser la boîte de messagerie pour envoyer du spam. Par conséquent, l’adresse IP de votre serveur risque d’être ajoutée sur les listes DNS Blackhole (« trou noir DNS »).
- Si le mot de passe d’un utilisateur système est compromis, l’attaquant peut insérer du code malveillant dans les sites Web des clients.
Cela peut créer des dommages financiers et ternir la réputation des clients, mais aussi entraîner la perte de données.
Pour empêcher les utilisateurs de définir des mots de passe trop faibles, vous pouvez configurer une politique définissant le niveau de sévérité des mots de passe au niveau du serveur. Cette politique s’applique à de nombreux mots de passe (sauf certains) définis par un utilisateur dans Plesk. Lorsqu’un utilisateur définit ou modifie un mot de passe, celui-ci doit ajuster le mot de passe jusqu’à ce qu’il soit conforme aux critères définis par la politique définissant le niveau de sévérité des mots de passe actuellement en vigueur.
Vous pouvez choisir parmi 5 niveaux de sévérité de « Très faible » à « Très fort ». Plus votre politique est stricte, moins le mot de passe risque d’être vulnérable aux attaques par force-brute.
La manière dont Plesk génère et évalue les mots de passe forts est similaire à celle des générateurs de mots de passe tiers. Ainsi, quand un mot de passe fort est généré par exemple par 1Password, vous pouvez être sûr que Plesk le considèrera également comme un mot de passe fort. En savoir plus sur le calcul du niveau de sévérité d’un mot de passe par Plesk.
Par défaut, le niveau de sévérité est défini sur « Fort ». Vous souhaiterez peut-être appliquer une politique de protection moins forte, par exemple, si les mots de passe créés par le générateur de mots de passe tiers que vous utilisez ne sont pas validés comme assez forts par Plesk.
Note: Lorsque vous modifiez le niveau de sévérité des mots de passe, cela n’a pas de conséquence sur les mots de passe déjà définis. Le nouveau niveau de sévérité s’applique uniquement sur les mots de passe définis par la suite.
La politique définissant le niveau de sévérité des mots de passe est appliquée aux mots de passe suivants :
- Mots de passe utilisés pour la connexion à Plesk.
- Mots de passe pour les utilisateurs système des abonnements.
- Mots de passe des utilisateurs de bases de données.
- Mots de passe des boîtes mails.
La politique définissant le niveau de sévérité des mots de passe n’est pas appliquée aux mots de passe suivants :
- Mots de passe pour les applications hébergées dans Plesk (par exemple : WordPress, Joomla!, etc.).
- Mots de passe pour les services gérés par Plesk (Git, Docker).
- Mots de passe pour le chiffrement des sauvegardes.
- Mots de passe pour le stockage distant des sauvegardes.
Pour modifier la politique définissant le niveau de sévérité des mots de passe :
- Allez dans Outils & Paramètres > Politique de sécurité (groupe « Sécurité ») et faites défiler la page jusqu’à la section Niveau de sécurité du mot de passe.
- Dans Niveau de sécurité min. du mot de passe, sélectionnez le niveau souhaité.
- Cliquez sur OK.
La nouvelle politique relative aux mots de passe est désormais en vigueur et sera appliquée à chaque fois que des mots de passe soumis à cette politique sont définis ou modifiés.