Passer au contenu principal
Ces documents et les recommandations qu’ils contiennent ne constituent pas des conseils juridiques, en matière de confidentialité, de sécurité, de conformité ou d’affaires. Ils sont fournis uniquement à des fins d’information générale et peuvent ne pas tenir compte des plus récentes évolutions en matière de sécurité, de confidentialité et de droit, ni de l’ensemble des enjeux pertinents. Il vous incombe d’obtenir des conseils juridiques, en matière de sécurité, de confidentialité, de conformité ou d’affaires auprès de votre propre avocat ou d’un autre conseiller professionnel, et vous ne devriez pas vous fier aux recommandations formulées ici. Okta n’est pas responsable envers vous des pertes ou dommages pouvant découler de la mise en œuvre des recommandations figurant dans ces documents. Okta ne fait aucune déclaration, garantie ni autre assurance quant au contenu de ces documents. Des renseignements sur les assurances contractuelles d’Okta envers ses clients sont disponibles à okta.com/agreements.
protège vos applications contre les qui s’inscrivent ou se connectent à l’aide d’identifiants volés. Auth0 peut à la fois aviser les utilisateurs et bloquer les comptes à risque. Auth0 surveille les brèches de sécurité de grande ampleur qui touchent d’importants sites tiers. Si Auth0 détermine que les identifiants de l’un de vos utilisateurs ont été compromis dans une brèche, la fonctionnalité de sécurité de détection des mots de passe compromis s’active. En réponse, Auth0 peut :
  • Empêcher les nouveaux utilisateurs de s’inscrire avec des identifiants volés. Bloque entièrement la combinaison nom d’utilisateur/mot de passe.
  • Empêcher quiconque de se connecter avec des identifiants volés. Bloque entièrement le compte et empêche les acteurs malveillants d’accéder à votre application. L’utilisateur ne peut pas se connecter tant qu’il n’a pas changé son mot de passe.
  • Envoyer un courriel à l’utilisateur lorsqu’une tentative de connexion a lieu. Le courriel informe les utilisateurs du risque et leur demande de changer immédiatement leur mot de passe. Vous pouvez personnaliser le message envoyé aux utilisateurs. Pour en savoir plus, consultez Customize Blocked Account Emails.

Détectez les brèches plus rapidement avec Credential Guard

La détection des mots de passe compromis s’appuie sur des données de brèches rendues publiques. Credential Guard est un service Auth0 additionnel que vous pouvez ajouter à la détection des mots de passe compromis. Il analyse les brèches afin de permettre une notification plus rapide lorsque des identifiants sont compromis.
Protection contre les mots de passe compromisCredential Guard
Plans inclusB2B / B2C Professional et EnterpriseInclus dans le module complémentaire Attack Protection du plan Enterprise
Méthode de collecte des donnéesDes analyseurs et robots d’exploration du Web recherchent des identifiants d’utilisateur dans des brèches de sécurité rendues publiquesUne équipe de sécurité dédiée infiltre des communautés criminelles et accède à des données de brèches qui ne sont pas accessibles autrement
Délai de détection typiqueJusqu’à 7 à 13 mois12 à 36 heures
CouvertureAnglais seulementPlus de 200 pays et territoires
Pour ajouter Credential Guard à votre entente Auth0, communiquez avec nous.

Configurer la détection des mots de passe compromis

Une fois cette fonctionnalité activée, vous pouvez personnaliser les préférences de détection des mots de passe compromis, comme la méthode de détection, les scénarios de réponse et les notifications.
  1. Accédez à Auth0 Dashboard > Security > Attack Protection et sélectionnez Breached Password Detection.
    Le bouton bascule permettant d’activer la détection des mots de passe compromis dans Auth0
  2. Pour activer la détection des mots de passe compromis, activez le bouton bascule dans le coin supérieur droit de la page.
    Configurer la détection des mots de passe compromis dans Auth0
    Si vous activez des fonctionnalités de protection contre les attaques sans activer de paramètres de réponse, le mode de surveillance est activé. Dans ce mode, seuls les événements associés sont consignés dans le journal de votre locataire. Pour en savoir plus, consultez Afficher les événements du journal d’Attack Protection.
    Si vous ne voyez pas le bouton bascule pour activer les journaux du locataire pour Risk Assessment, vous devrez peut-être passer à un forfait supérieur.

Configurer la méthode de détection

Selon les fonctionnalités incluses dans votre forfait, vous pouvez configurer la méthode de détection utilisée pour repérer les identifiants compromis.
  1. Accédez à Auth0 Dashboard > Security > Attack Protection et sélectionnez Breached Password Detection.
  2. Dans la section Detection, repérez Breached Password Detection Method.
  3. Si votre entente avec Auth0 inclut Credential Guard, sélectionnez As soon as possible based on data received from the dark web, with Credential Guard.
  4. Sinon, laissez When breach data is published sélectionné.
  5. Sélectionnez Save pour appliquer les changements.

Configurer les scénarios de réponse

Vous pouvez configurer la manière dont Auth0 réagit dans différents scénarios où les utilisateurs peuvent fournir des identifiants compromis.
  1. Accédez à Auth0 Dashboard > Security > Attack Protection, puis sélectionnez Breached Password Detection.
  2. Repérez la section Response.
  3. Activez le bouton Block compromised credentials for new accounts pour empêcher les utilisateurs d’utiliser des identifiants compromis lors de l’inscription.
  4. Activez le bouton Block compromised user accounts pour empêcher les utilisateurs d’utiliser des identifiants compromis lors de la connexion.
  5. Activez le bouton Block compromised credentials use for password reset pour empêcher les utilisateurs d’utiliser des identifiants compromis lors de la réinitialisation du mot de passe.
Si vous utilisez Lock, notre widget d’interface utilisateur pour authentifier les utilisateurs, avec l’expérience Connexion classique, vous devez le mettre à jour vers la version v11.33.3 ou ultérieure pour pouvoir utiliser la détection de mots de passe compromis pour les nouveaux comptes. Pour en savoir plus sur Lock, consultez la bibliothèque Lock. Si vous utilisez un SDK Auth0, vous devez le mettre à jour vers la version la plus récente pour pouvoir utiliser la détection de mots de passe compromis pour les nouveaux comptes.

Configurer les notifications

Vous pouvez configurer la façon dont Auth0 avise les utilisateurs et les administrateurs de l’utilisation d’identifiants compromis.
  1. Accédez à Auth0 Dashboard > Security > Attack Protection et sélectionnez Breached Password Detection.
  2. Repérez la section Notifications.
  3. Activez le bouton Send notifications to users with compromised credentials pour envoyer un courriel à un utilisateur lorsque Auth0 détecte que ses identifiants pourraient avoir été compromis.
  4. Activez le bouton Compromised user accounts pour envoyer un courriel aux administrateurs lorsqu’un utilisateur s’inscrit avec des identifiants compromis.
  5. Activez le bouton Compromised user accounts pour envoyer un courriel aux administrateurs lorsqu’un utilisateur se connecte avec des identifiants compromis.
  6. Choisissez la fréquence des notifications : Immediately, Daily, Weekly ou Monthly.
    Si vous choisissez daily, weekly ou monthly, votre notification indiquera le nombre de brèches visant votre application. Si vous choisissez immediate, votre notification indiquera le compte utilisateur qui tente de compromettre votre application.
  7. Sélectionnez Save.

Fonctionnement de la limitation du débit

Pour éviter une surcharge de notifications et un trop grand nombre d’événements dans les journaux, Auth0 applique une limitation du débit aux notifications et aux journaux de détection des mots de passe compromis. Lorsqu’un identifiant compromis (mot de passe compromis) est détecté, Auth0 prend les mesures suivantes :
  1. Bloquer les comptes d’utilisateur compromis : Aucune limitation du débit n’est appliquée. Les comptes d’utilisateur sont toujours bloqués lorsqu’un identifiant compromis est détecté.
  2. Envoyer des notifications aux utilisateurs : Limité à une fois par heure par utilisateur.
  3. Envoyer des notifications aux administrateurs du locataire : Limité à une fois par heure par adresse IP.
  4. Consigner les événements pwd_leak : Limité à une fois par heure par adresse IP.
Si vous ne recevez pas les notifications par courriel attendues ou si vous ne voyez pas d’événements pwd_leak dans les journaux de votre locataire, vérifiez si la détection s’est produite pendant la période de limitation du débit. Pendant cette période, les notifications ne sont pas envoyées et les événements de journalisation ne sont pas consignés, ce qui est le comportement attendu. Toutefois, les comptes d’utilisateur sont toujours bloqués, peu importe la limitation du débit.

Personnaliser les notifications par courriel destinées aux utilisateurs

Vous pouvez configurer la notification qu’Auth0 envoie à vos utilisateurs lorsque des identifiants compromis sont utilisés pour se connecter.
  1. Accédez à Auth0 Dashboard > Image de marque > Modèles de courriel.
  2. Dans le menu déroulant Modèle, sélectionnez Alerte de compromission de mot de passe.
  3. Modifiez le modèle au besoin. Vous pouvez utiliser n’importe laquelle des variables communes disponibles pour personnaliser le message.

Vérifier la configuration de détection

Vous pouvez vérifier votre configuration en testant les flux d’inscription et de connexion avec un mot de passe compromis fourni par Auth0.
Tout mot de passe commençant par AUTH0-TEST- déclenche la détection des mots de passe compromis à des fins de test.

Flux d’inscription

Vérifiez l’expérience d’inscription d’un utilisateur lorsqu’Auth0 détecte un mot de passe compromis :
  1. Suivez votre flux d’inscription et essayez de créer un nouveau compte avec un mot de passe compromis de test (Paaf213XXYYZZ ou Paat739!!WWXXYYZZ) ou n’importe quel mot de passe commençant par AUTH0-TEST-.
  2. Si Bloquer les identifiants compromis pour les nouveaux comptes est activé, vous recevrez un message d’erreur qui vous empêchera d’utiliser ce mot de passe compromis.
  3. Accédez à Auth0 Dashboard > Surveillance > Journaux.
  4. Recherchez type: "signup_pwd_leak" dans les journaux pour vérifier qu’Auth0 a bloqué l’inscription.

Flux de connexion

Vérifiez l’expérience de connexion d’un utilisateur lorsqu’Auth0 détecte un mot de passe compromis :
  1. Créez un utilisateur de test dans Auth0 Dashboard > User Management > User, puis attribuez-lui un mot de passe compromis de test (Paaf213XXYYZZ ou Paat739!!WWXXYYZZ) ou tout mot de passe commençant par AUTH0-TEST-.
  2. Suivez votre flux de connexion et saisissez l’identifiant et le mot de passe que vous avez attribués.
  3. Si Block compromised user accounts est activé, l’utilisateur verra un message d’erreur qui l’empêchera de se connecter et lui indiquera de réinitialiser son mot de passe.
  4. Accédez à Auth0 Dashboard > Monitoring > Logs.
  5. Recherchez type: "pwd_leak" dans les journaux afin de vérifier qu’Auth0 a bloqué la connexion.
  6. Accédez à Auth0 Dashboard > User Management > User pour supprimer l’utilisateur de test.

Flux de réinitialisation

Vérifiez l’expérience de réinitialisation du mot de passe d’un utilisateur lorsqu’Auth0 détecte un mot de passe compromis :
  1. Créez un utilisateur de test dans Auth0 Dashboard > User Management > User.
  2. Suivez votre flux de réinitialisation de mot de passe et saisissez l’un des mots de passe compromis de test (Paaf213XXYYZZ ou Paat739!!WWXXYYZZ), ou n’importe quel mot de passe commençant par AUTH0-TEST-.
  3. Si Block compromised user accounts est activé, l’utilisateur final recevra un message d’erreur l’empêchant de réinitialiser son mot de passe et lui indiquant d’en utiliser un autre.
  4. Accédez à Auth0 Dashboard > Monitoring > Logs.
  5. Recherchez type: "reset_pwd_leak" dans les journaux pour vérifier qu’Auth0 a bloqué la réinitialisation du mot de passe.
  6. Accédez à Auth0 Dashboard > User Management > User pour supprimer l’utilisateur de test.

Pour en savoir plus