Gestion des mots de passe

La connexion à une machine de l'IDRIS se fait par la saisie de votre login et du mot de passe associé ; les machines Ada, Adapp, Turing et Ergon sont accédées avec un seul et même mot de passe par login.

Pour votre première connexion vous devez utiliser un mot de passe initial qui sera changé immédiatement, afin de définir votre mot de passe courant.

Le mot de passe initial

Qu'est ce que le mot de passe initial ?

Le mot de passe initial est le résultat de la concaténation de deux mots de passe, en respectant leur ordre respectif :

  1. Le mot de passe généré aléatoirement par l'IDRIS, qui vous est envoyé par courriel lors de l'ouverture de votre compte et/ou lors de la réinitialisation de votre mot de passe. Il reste valide 20 jours.
  2. Le mot de passe initial utilisateur, qui est :
    • renseigné par vous-même (8 caractères alphanumériques) dans le (Formulaire de Création de Compte Utilisateur DARI) lors de la demande d'ouverture de votre premier compte si vous êtes nouvel utilisateur, ou dans le Formulaire de Gestion de Compte (FGC) ;
    • pour un utilisateur dont le compte a été créé en 2014 ou avant, il est constitué par le mot de passe initial indiqué dans la dernière lettre reçue de l'IDRIS.

Ce mot de passe initial doit être changé dans les 20 jours qui suivent la réception du courriel contenant le mot de passe généré aléatoirement :

Ce changement se fait automatiquement lors de la première connexion sur une des machines de l'IDRIS (c.f. ci-dessous Exemple de changement du mot de passe initial). Si la première connexion n'a pas été effectuée dans ce délai de 20 jours, le mot de passe initial est invalidé : un courriel vous est envoyé pour vous en informer. Il suffit de contacter par courriel pour demander la réinitialisation de la partie aléatoire du mot de passe initial, qui vous est alors renvoyée par courriel.

Le mot de passe initial est (ré)généré dans les cas suivants :

Réouverture de compte :

Un mot de passe initial est attribué à la création de chaque compte, mais aussi lors de la réouverture d'un compte fermé sur l'ensemble des calculateurs.

Oubli de votre mot de passe :

  • Si vous perdez votre mot de passe courant, contactez par courriel pour demander la réinitialisation de la partie aléatoire du mot de passe initial, qui vous est alors renvoyée par courriel ; vous aurez aussi besoin de votre mot de passe initial utilisateur.
  • Si vous avez aussi perdu votre mot de passe initial utilisateur, celui que vous avez vous-même fourni dans le FGC (ou reçu dans la lettre de l'IDRIS avant 2014), vous devez remplir dans le FGC le cadre de changement de mot de passe initial utilisateur, l'imprimer et le signer, puis le transmettre par courriel à ou l'envoyer par courrier postal. Vous recevrez alors un courriel dans lequel un nouveau mot de passe aléatoire vous sera communiqué.

Exemple d'utilisation du mot de passe initial lors de la première connexion

Vous voulez utiliser votre mot de passe initial (et vous n'avez pas de clé ssh pour vous connecter) : voici un exemple de première connexion et d'entrée du mot de passe courant pour le compte login1 sur Adapp.
Attention : le mot de passe initial est demandé deux fois.
Recommandation : préparez soigneusement votre nouveau mot de passe courant avant de commencer la procédure (c.f. Règles de constitution ci-dessous).

$ ssh login1@adapp                                                         
login1@adapp's password:                   ## Saisissez votre MOT DE PASSE INITIAL ##
Last login: Fri Nov 28 10:20:22 2014 from machine.idris.fr
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user login1.
Enter login(    ) password:                 ## Saisissez à nouveau votre MOT DE PASSE INITIAL ##
New password:                               ## Saisissez votre nouveau mot de passe courant ##
Retype new password:                        ## Saisissez à nouveau votre nouveau mot de passe courant ##
     password information changed for login1
passwd: all authentication tokens updated successfully.
Connection to adapp closed.
$ 

Le fait d'être immédiatement déconnecté après la prise en compte correcte d'un mot de passe courant (all authentication tokens updated successfully) est normal. Vous pouvez maintenant vous reconnecter avec votre nouveau mot de passe courant.

Le mot de passe courant

Une fois choisi correctement, sa durée de validité est d'un an (365 jours).

Comment changer votre mot de passe courant ?

Comme il est unique pour chaque login, vous pouvez changer votre mot de passe en utilisant la commande UNIX passwd, sur n'importe quel calculateur. Le changement est immédiat, pour toutes les machines; la validité de cd nouveau mot de passe courant est d'un an à nouveau.

Règles de constitution des mots de passe courants :

  • Ils doivent comporter un minimum de 12 caractères.
  • Ces caractères doivent appartenir à au moins 3 familles de caractères parmi les 4 suivantes :
    • majuscules,
    • minuscules,
    • chiffres,
    • caractères spéciaux.
  • Un mot de passe ne doit pas non plus contenir le même caractère plus de deux fois consécutives.
  • Il ne doit pas être composé de mots issus de dictionnaires, ni de combinaisons triviales (1234, azerty, …).

À noter :

  • Un nouveau mot de passe n'est pas modifiable pendant 5 jours. Il est toujours possible, en cas de nécessité, de contacter l'Assistance pour demander une remise à zéro au mot de passe initial.
  • Un historique des 6 derniers mots de passe est conservé, afin de rejeter un mot de passe utilisé récemment.

Expiration du mot de passe courant

Si, malgré les courriels d'avertissement, vous n'avez pas changé votre mot de passe courant avant sa date d'expiration (un an après le dernier changement), alors votre mot de passe sera invalidé. Vous devrez alors, comme dans le cas de la perte du mot de passe courant, contactez par courriel pour demander la réinitialisation de la partie aléatoire du mot de passe initial, qui vous est alors renvoyée par courriel ; vous aurez aussi besoin de votre mot de passe initial utilisateur.

Compte bloqué suite à 15 connexions infructueuses :

Si votre compte est bloqué suite à 15 tentatives infructueuses, vous devez contacter l'Assistance de l'IDRIS.

Rappel sur la sécurité de votre compte

Ne communiquez jamais votre mot de passe en clair dans un message électronique adressé à l'IDRIS (Assistance, Gestion des Utilisateurs, etc.) et ce, quel qu'en soit le motif : nous serions alors obligés de générer immédiatement un nouveau mot de passe initial, afin d'inhiber le mot de passe courant que vous auriez ainsi publié et de nous assurer que vous en définissiez un nouveau dès la connexion suivante.

Chaque compte est strictement personnel. L'accès d'une personne non autorisée entraîne dès sa découverte des mesures de protection immédiates allant jusqu'au blocage du compte.
En tant que titulaire d'un compte, vous êtes tenus de prendre quelques précautions élémentaires de bon sens :

  • prévenir immédiatement l'IDRIS de toute tentative de violation de son compte,
  • respecter les recommandations sur l'utilisation des clés ssh,
  • protéger ses fichiers en limitant les droits d'accès UNIX,
  • ne pas utiliser de mot de passe trop simple,
  • protéger son poste de travail personnel.