Gestion des mots de passe

La connexion à Jean Zay se fait par la saisie de votre login et du mot de passe associé.

Pour votre première connexion vous devez utiliser un mot de passe initial qui sera changé immédiatement, afin de définir votre mot de passe courant.

Le mot de passe initial

Qu'est ce que le mot de passe initial ?

Le mot de passe initial est le résultat de la concaténation de deux mots de passe dans l'ordre suivant :

  1. Premièrement, le mot de passe généré aléatoirement par l'IDRIS, qui vous est envoyé par courriel lors de l'ouverture de votre compte et lors de la réinitialisation de votre mot de passe. Il reste valide 20 jours.
  2. Deuxièmement, le mot de passe initial utilisateur (8 caractères), que vous devez renseigner :
    • lors de la demande d'ouverture de votre compte (si vous êtes nouvel utilisateur) sur le portail DARI ;
    • lors d'une demande de réinitialisation du mot de passe initial dans le Formulaire de Gestion de Compte (FGC).
      Remarque : pour un utilisateur dont le compte a été créé en 2014 ou avant, il est constitué par le mot de passe initial indiqué dans la dernière lettre reçue de l'IDRIS.

Ce mot de passe initial doit être changé dans les 20 jours qui suivent la réception du courriel contenant le mot de passe généré aléatoirement (c.f. ci-dessous le paragraphe intitulé Utilisation du mot de passe initial).
Passé ce délai de 20 jours, le mot de passe initial est invalidé et un courriel vous est envoyé pour vous en informer. Il suffit de contacter par courriel pour demander la réinitialisation de la partie aléatoire du mot de passe initial, qui vous est alors renvoyée par courriel.

Le mot de passe initial est (ré)généré dans les cas suivants :

  • Réouverture de compte : un mot de passe initial est attribué à la création de chaque compte, mais aussi lors de la réouverture d'un compte fermé.
  • Oubli de votre mot de passe :
    • Si vous perdez votre mot de passe courant, contactez par courriel pour demander la réinitialisation de la partie aléatoire du mot de passe initial, qui vous est alors renvoyée par courriel ; vous aurez aussi besoin de votre mot de passe initial utilisateur.
    • Si vous avez aussi perdu votre mot de passe initial utilisateur, celui que vous avez vous-même fourni dans le FGC (ou reçu dans la lettre de l'IDRIS avant 2014), vous devez remplir dans le FGC le cadre de changement de mot de passe initial utilisateur, l'imprimer et le signer, puis le transmettre par courriel à ou l'envoyer par courrier postal. Vous recevrez alors un courriel dans lequel un nouveau mot de passe aléatoire vous sera communiqué.

Utilisation du mot de passe initial lors de la première connexion

Voici un exemple de première connexion avec entrée du mot de passe initial pour le compte login_idris sur la machine de l'IDRIS.

Attention : à la première connexion, le mot de passe initial est demandé deux fois. Une première fois pour établir la connexion sur la machine et une seconde fois par la procédure de changement du mot de passe qui est alors automatiquement exécutée.

Recommandation : comme vous êtes obligé de changer le mot de passe initial à votre première connexion, préparez soigneusement un autre mot de passe avant de commencer la procédure (c.f. Règles de constitution ci-dessous).

$ ssh login_idris@machine_idris.idris.fr                                                         
login_idris@machine_idris password:   ## Première demande du MOT DE PASSE INITIAL ##
Last login: Fri Nov 28 10:20:22 2014 from machine_idris.idris.fr
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user login_idris.
Enter login(    ) password:           ## Seconde demande du MOT DE PASSE INITIAL ##
New password:                         ## Entrez le nouveau mot de passe choisi ##
Retype new password:                  ## Confirmez le nouveau mot de passe choisi ##
     password information changed for login_idris
passwd: all authentication tokens updated successfully.
Connection to machine_idris closed.

Remarque : le fait d'être immédiatement déconnecté après que le nouveau mot de passe choisi ait été accepté (all authentication tokens updated successfully) est normal.

Vous pouvez maintenant vous reconnecter avec le nouveau mot de passe courant que vous venez d'enregistrer.

Le mot de passe courant

Une fois choisi correctement, sa durée de validité est d'un an (365 jours).

Comment changer votre mot de passe courant ?

Vous pouvez changer votre mot de passe en utilisant la commande UNIX passwd sur la frontale de la machine. Le changement est immédiat et effectif sur tous les nœuds de la machine. La validité de ce nouveau mot de passe courant est aussi d'un an (365 jours).

Règles de constitution des mots de passe courants :

  • Ils doivent comporter un minimum de 12 caractères.
  • Ces caractères doivent appartenir à au moins 3 familles de caractères parmi les 4 suivantes :
    • majuscules,
    • minuscules,
    • chiffres,
    • caractères spéciaux.
  • Un mot de passe ne doit pas non plus contenir le même caractère plus de deux fois consécutives.
  • Il ne doit pas être composé de mots issus de dictionnaires, ni de combinaisons triviales (1234, azerty, …).

Remarques :

  • Un nouveau mot de passe n'est pas modifiable pendant 5 jours. Il est toujours possible, en cas de nécessité, de contacter l'Assistance pour demander une remise à zéro au mot de passe initial.
  • Un historique des 6 derniers mots de passe est conservé, afin de rejeter un mot de passe utilisé récemment.

Oubli ou expiration du mot de passe courant

Si vous avez oublié votre mot de passe courant ou si, malgré les courriels d'avertissement, vous n'avez pas changé votre mot de passe courant avant sa date d'expiration (un an après le dernier changement) alors votre mot de passe sera invalidé.

Vous devez alors contactez par courriel pour demander la réinitialisation de la partie aléatoire du mot de passe initial, qui vous est alors renvoyée par courriel.

Remarque : vous aurez aussi besoin de la partie utilisateur de votre mot de passe initial pour pouvoir vous connecter sur la machine après cette réinitialisation. En effet, vous aurez à suivre la procédure correspondant à une utilisation du mot de passe initial lors de la première connexion.

Compte bloqué suite à 15 connexions infructueuses :

Si votre compte est bloqué suite à 15 tentatives infructueuses, vous devez contacter l'Assistance de l'IDRIS.

Rappel sur la sécurité de votre compte

Ne communiquez jamais votre mot de passe en clair dans un message électronique, même ceux adressés à l'IDRIS (Assistance, Gestion des Utilisateurs, etc.) et ce, quel qu'en soit le motif : nous serions alors obligés de générer immédiatement un nouveau mot de passe initial, afin d'inhiber le mot de passe courant que vous auriez ainsi publié et de nous assurer que vous en définissiez un nouveau dès la connexion suivante.

Chaque compte est strictement personnel. L'accès à un compte par une personne non autorisée entraîne dès sa découverte des mesures de protection immédiates allant jusqu'au blocage du compte.
En tant que titulaire d'un compte, vous êtes tenus de prendre quelques précautions élémentaires de bon sens :

  • prévenir immédiatement l'IDRIS de toute tentative de violation de son compte,
  • respecter les recommandations sur l'utilisation des clés ssh,
  • protéger ses fichiers en limitant les droits d'accès UNIX,
  • ne pas utiliser de mot de passe trop simple,
  • protéger son poste de travail personnel.