Un utilisateur vient de ne pas pouvoir changer son mot de passe sur un domaine Windows 2008. Il recevait un message cryptique concernant les exigences de complexité alors qu’il était certain que le mot de passe choisi les respectait. Je l’ai testé moi-même et confirmé.
Il semble que son dernier mot de passe avait été défini trop récemment selon un paramètre par défaut recommandé par Microsoft, quelque chose comme 10 jours si je me souviens bien.
Il m’a posé une très bonne question, à laquelle je n’ai pas pu répondre : pourquoi y aurait-il un âge minimum de mot de passe ? En quoi cela pourrait-il raisonnablement bénéficier à la sécurité ? Il a également souligné que l’on pourrait découvrir que son mot de passe est compromis pendant cette période de 10 jours et ne pas pouvoir le changer !
Y aurait-il une raison valable d’appliquer un âge minimum de mot de passe ?
Configurez l’âge minimum du mot de passe à une valeur supérieure à 0 si vous voulez que l’historique des mots de passe soit efficace. Sans âge minimum du mot de passe, les utilisateurs peuvent parcourir les mots de passe de manière répétée jusqu’à retrouver leur favori.
C’est donc une bonne raison pour que ce ne soit pas 0. De plus, selon ces articles :
Par défaut
1 sur les contrôleurs de domaine.
0 sur les serveurs autonomes.
En d’autres termes, la valeur par défaut est le minimum nécessaire pour pouvoir appliquer un historique de mots de passe.
Personnellement, je ne pense pas qu’il y ait une raison de sécurité valable pour appliquer un âge minimum de mot de passe mais il pourrait y avoir des raisons pratiques / humaines. Par exemple, vous pourriez limiter le nombre de changements de mot de passe pour réduire le nombre d’appels « J’ai oublié mon mot de passe ». Je pourrais voir cela être pratique pour des lycéens, par exemple.
Enfin, il convient de noter que ces limites ne s’appliquent pas aux réinitialisations manuelles de mot de passe depuis la console Utilisateurs et ordinateurs Active Directory. Un utilisateur pourrait donc toujours demander l’aide de l’administrateur système s’il a vraiment besoin de changer son mot de passe.