Zendesk propose les niveaux de sécurité des mots de passe suivants :

Faible - Chaque mot de passe doit contenir au moins 5 caractères. Il s’agit du niveau de sécurité par défaut.

Moyen - Chaque mot de passe doit contenir au moins 6 caractères et satisfaire aux règles suivantes :

• Doit inclure des chiffres, des majuscules ET des minuscules
• Doit inclure un caractère qui n’est ni une lettre ni un chiffre

Élevé - Chaque mot de passe doit contenir au moins 6 caractères et satisfaire aux règles suivantes :

• Doit inclure des chiffres, des majuscules ET des minuscules
• Doit inclure un caractère qui n’est ni une lettre ni un chiffre
• Chaque mot de passe expire au bout de 90 jours et le nouveau mot de passe doit être différent des 5 mots de passe précédents.

Personnalisé - Sélectionnez Personnalisé, puis cliquez sur Modifier pour configurer les conditions pour les mots de passe. Chaque mot de passe doit satisfaire aux conditions que vous définissez. Ce niveau de sécurité est réservé aux agents et aux administrateurs. Par exemple :

La plupart des options sont faciles à comprendre, à l’exception des options suivantes :

• Nombre de mots de passe précédents à refuser - Les nouveaux mots de passe doivent être différents des mots de passe précédents que vous avez définis.
• Tentatives ratées autorisées jusqu’au verrouillage - Si un utilisateur final ou un agent saisit un mot de passe incorrect le nombre de fois que vous spécifiez d’affilée, son compte est verrouillé pendant une durée donnée et il ne peut pas se connecter jusqu’à l’expiration de cette période de verrouillage.
• Nombre max. de lettres ou de chiffres consécutifs - Le nombre maximum de lettres et de chiffres séquentiels autorisés dans les mots de passe. Par exemple, si vous configurez ce maximum sur 4, un mot de passe comme admin12345, qui contient cinq chiffres séquentiels, sera refusé. Si vous configurez le maximum sur 5, ce mot de passe sera accepté.
• Les mots de passe peuvent ressembler aux adresses e-mail - Contrôle si les nouveaux mots de passe peuvent inclure une partie de l’adresse e-mail. Par exemple, si ce paramètre est configuré sur Non, un utilisateur avec l’adresse david@masociete.com ne peut pas inclure le mot david dans son mot de passe.

Zendesk applique une limite de 128 caractères pour les mots de passe. La limite de la longueur des mots de passe est une mesure de fiabilité visant à empêcher une forme d’attaque DoS parfois appelée « attaque par déni de service par mot de passe long ». Pour en savoir plus au sujet des pratiques de sécurité de Zendesk, consultez notre site Web consacré à la sécurité.

Seuls les administrateurs peuvent modifier le niveau de sécurité des mots de passe. Si vous passez à un niveau de sécurité plus élevé, tous les mots de passe, quel que soit leur niveau de sécurité, expireront après 5 jours. Tous les utilisateurs finaux et membres de l’équipe doivent modifier leur mot de passe afin de satisfaire aux règles du nouveau niveau de sécurité. Pour les utilisateurs finaux, à la connexion suivante, Zendesk leur demande de modifier leur mot de passe. Zendesk envoie aussi une notification par e-mail aux administrateurs et aux agents trois jours avant et le jour même de l’expiration des mots de passe.

Pour modifier le niveau de sécurité des mots de passe

1. Ouvrez les paramètres de sécurité des mots de passe pour les membres de l’équipe et les utilisateurs finaux.
   • Dans le Centre d’administration, cliquez sur l’icône Compte () dans la barre latérale, puis sélectionnez Sécurité > Authentification des membres de l’équipe.
   • Dans le Centre d’administration, cliquez sur l’icône Compte () dans la barre latérale, puis sélectionnez Sécurité > Authentification des utilisateurs finaux.

     La commande Utilisateurs finaux n’est pas disponible jusqu’à ce que vous activiez le centre d’aide. Consultez Premiers pas avec Guide.

2. Sélectionnez un niveau des mots de passe, puis cliquez sur Enregistrer.

   Vous pouvez définir un niveau de sécurité des mots de passe pour les utilisateurs finaux et un autre pour les membres de l’équipe.

Les propriétaires de compte peuvent permettre aux administrateurs de configurer les mots de passe pour les utilisateurs. Cependant, Zendesk vous conseille ne pas activer cette option pour des raisons de sécurité. Cela évite que des pirates/hackers n’utilisent des techniques « d’ingénierie sociale » pour convaincre des personnes de bonne foi de leur communiquer des informations confidentielles. Par exemple, une technique qu’utilisent les pirates est d’appeler sans arrêt ou d’envoyer à un centre d’assistance de nombreux e-mails en se faisant passer pour un client frustré qui a oublié son mot de passe et n’arrive pas à le récupérer, jusqu’à ce qu’un agent finisse par modifier le mot de passe manuellement pour ce client en colère. Une fois ce mot de passe modifié, le pirate a accès aux informations confidentielles.

Vous pouvez aussi configurer les mots de passe des utilisateurs par le biais de l’API. Consultez Configuration du mot de passe d’un utilisateur.

Pour permettre aux administrateurs de configurer les mots de passe pour les utilisateurs

1. Dans le Centre d’administration, cliquez sur l’icône Compte () dans la barre latérale, puis sélectionnez Sécurité > Avancée.
2. Dans l’onglet Mots de passe, sélectionnez Permettre aux administrateurs de définir les mots de passe.

   Vous devez être le propriétaire du compte pour voir ce paramètre.

3. Cliquez sur Enregistrer.

   Quand l’administrateur définit les mots de passe pour les utilisateurs, ces derniers reçoivent un e-mail les en avertissant.

Vous pouvez configurer Zendesk pour que les agents et autres membres de l’équipe soient automatiquement déconnectés après une période d’inactivité. Les agents restent connectés tant qu’ils utilisent activement le produit. Les utilisations actives incluent la saisie de texte ou les clics sur les liens.

Vous pouvez envisager de publier un article dans votre portail Zendesk Support pour rappeler les meilleures pratiques pour les mots de passe à vos agents et vos utilisateurs. Parmi les recommandations courantes, on peut citer :

• N’utilisez jamais le même mot de passe pour plus d’un compte.
• Ne partagez jamais votre mot de passe.
• Ne notez jamais votre mot de passe par écrit.
• Ne communiquez jamais votre mot de passe par téléphone, e-mail ou messagerie instantanée.
• Déconnectez-vous avant de laisser votre ordinateur sans surveillance.
• Changez votre mot de passe chaque fois que vous suspectez qu’il a été compromis.

Pour un bon article à ce sujet, consultez Choosing Good Passwords - A User Guide.

Pour en savoir plus au sujet de la sécurisation de vos informations confidentielles, consultez Sécurité – Meilleures pratiques.