Stratégie de mot de passe

  • Article

Lorsqu'il fonctionne sous Windows Server 2003 ou des versions ultérieures, SQL Server 2005 peut exploiter les mécanismes de stratégie de mot de passe Windows.

SQL Server 2005 peut appliquer aux mots de passe utilisés dans SQL Server des stratégies de complexité et d'expiration identiques à celles de Windows Server 2003. Cette fonctionnalité depend de l'API NetValidatePasswordPolicy disponible uniquement sous Windows Server 2003 et versions ultérieures.

Complexité des mots de passe

Les stratégies de mot de passe complexes sont conçues pour décourager les attaques en augmentant le nombre de mots de passe possibles. Lorsque la stratégie de mot de passe complexe est mise en œuvre, les nouveaux mots de passe doivent respecter les critères suivants :

  • Les mots de passe ne doivent pas contenir le nom (complet ou partiel) du compte de l'utilisateur. Un nom partiel de compte est défini comme trois caractères alphanumériques consécutifs ou plus, délimités à chaque extrémité par un espace blanc (espace, tabulation, retour chariot) ou par l'un des caractères suivants : virgule (,), point (.), tiret (-), trait de soulignement (_) ou signe dièse (#).
  • Les mots de passe doivent compter au moins huit caractères.
  • Les mots de passe doivent contenir des caractères appartenant à trois des quatre catégories suivantes :
    • Lettres majuscules de l'alphabet latin (A à Z)
    • Lettres minuscules de l'alphabet latin (a à z)
    • Chiffres de la base 10 (0 à 9)
    • Caractères non alphanumériques tels que : point d'exclamation (!), symbole dollar ($), signe dièse (#) ou pour cent (%).

Les mots de passe peuvent comporter jusqu'à 128 caractères. Vous devez utiliser des mots de passe aussi longs et complexes que possible.

Expiration des mots de passe

Les stratégies d'expiration des mots de passe servent à gérer la durée de vie d'un mot de passe. Lorsque SQL Server 2005 applique la stratégie d'expiration des mots de passe, les utilisateurs sont invités à modifier leurs anciens mots de passe, et les comptes associés à des mots de passe arrivés à expiration sont désactivés.

Mode d'application d'une stratégie

L'application de la stratégie de mot de passe peut être configurée séparément pour chaque connexion SQL Server. Utilisez ALTER LOGIN (Transact-SQL) pour configurer les options de stratégie de mot de passe d'une connexion SQL Server. Les règles suivantes régissent la configuration du mode d'application des stratégies de mot de passe :

  • Lorsque CHECK_POLICY prend la valeur ON, les actions suivantes se produisent :
    • CHECK_EXPIRATION prend également la valeur ON, sauf si la valeur OFF est définie explicitement.
    • L'historique du mot de passe est initialisé avec la valeur du hachage de mot de passe actuel.
  • Lorsque CHECK_POLICY prend la valeur OFF, les actions suivantes se produisent :
    • CHECK_EXPIRATION prend également la valeur OFF.
    • L'historique du mot de passe est supprimé.
    • La valeur de lockout_time est réinitialisée.

Certaines combinaisons d'options de stratégie ne sont pas prises en charge.

  • Si MUST_CHANGE est spécifié, CHECK_EXPIRATION et CHECK_POLICY doivent prendre la valeur ON. Sans quoi, l'instruction échoue.
  • Si CHECK_POLICY prend la valeur OFF, CHECK_EXPIRATION ne peut pas prendre la valeur ON. Si cette combinaison d'options est utilisée dans une instruction ALTER LOGIN, l'instruction échoue.
    ms161959.note(fr-fr,SQL.90).gifImportant :
    CHECK_EXPIRATION et CHECK_POLICY sont appliqués uniquement sur Windows Server 2003 et versions ultérieures.
    ms161959.note(fr-fr,SQL.90).gifImportant :
    Un problème connu dans Windows Server 2003 peut empêcher la réinitialisation du nombre de mots de passe erronés si la valeur définie pour LockoutThreshold est atteinte. Cela peut entraîner le blocage immédiat des tentatives de connexion suivantes qui échouent. Vous pouvez réinitialiser manuellement le compteur de mots de passe erronés en définissant CHECK_POLICY = OFF, puis CHECK_POLICY = ON.

Lorsque SQL Server est exécuté sur Windows 2000, le paramètre CHECK_POLICY = ON interdit la création des mots de passe qui sont :

  • NULL ou vides
  • Identiques au nom de l'ordinateur ou de la connexion
  • Égaux à : « password », « admin », « administrator », « sa », « sysadmin »

Voir aussi

Concepts

Mots de passe forts

Autres ressources

CREATE LOGIN (Transact-SQL)
ALTER LOGIN (Transact-SQL)

Aide et Informations

Assistance sur SQL Server 2005