Mots de passe : la CNIL fait ses recommandations, êtes-vous dans les clous ?

19 octobre 2022 à 16h20
38
© Fotolia
© Fotolia

La CNIL a mis à jour ses recommandations concernant la sécurité des mots de passe, voici ce que l'on peut en retenir.

La Commission nationale de l'informatique et des libertés (CNIL) a publié une nouvelle directive sur la sécurisation des mots de passe. Si celle-ci s'adresse essentiellement aux entreprises, de plus en plus sujettes à des fuites de données et des cyberattaques, les recommandations peuvent aussi être appliquées par les particuliers.

Quel degré de complexité du mot de passe choisir ?

La CNIL a identifié trois cas, pour lesquels elle a attribué différents niveaux d’entropie. Elle donne des exemples de mots de passe répondant au niveau d’entropie correspondant.

  • Mot de passe seul : minimum de 12 caractères (avec majuscule, minuscule, chiffre, caractère spécial) ou minimum de 14 caractères (avec majuscule, minuscule, chiffre).
  • Mécanisme de restriction de l’accès au compte après plusieurs échecs d’authentification : minimum de 8 caractères comportant 3 des 4 catégories de caractères (majuscule, minuscule, chiffre, caractère spécial) ou minimum de 16 chiffres.
  • Matériel détenu par la personne avec dispositif de blocage après 3 échecs d’authentification : minimum de 4 chiffres décimaux.

Ajoutons que la CNIL ne recommande plus d’utiliser une information complémentaire, comme le nom des parents, d'un animal de compagnie, ou autre donnée personnelle, pour sécuriser un mot de passe.

Ne jamais stocker les mots de passe en clair

La CNIL rappelle également que sous aucun prétexte les mots de passe ne doivent être stockés en clair. « Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé », ajoute la Commission, qui cite les fonctions scrypt ou Argon2 comme solutions de chiffrement des mots de passe.

Réagissant à cette mise à jour des recommandations de la CNIL, Me Alexandre Lazarègue, spécialisé en droit du numérique, évoque par ailleurs le sujet de la biométrie comme méthode d'authentification. Selon lui, celle-ci comporte des risques, car si les données biométriques tombent entre de mauvaises mains, elles ne peuvent logiquement pas être modifiées, au contraire d'un mot de passe. Cela peut entraîner une « compromission susceptible d'entraîner des usurpations d'identité à répétition », d'après l'expert, qui conseille plutôt le recours à des mots de passe complexes.

Source : Communiqué de presse

Il n'est jamais trop tard pour adopter les bons réflexes en ligne, n'est-ce pas ? La première étape consiste à télécharger un gestionnaire de mots de passe. Pour vous guider vers le meilleur choix, nous avons comparé ici les meilleurs d'entre eux en février 2024.
Lire la suite

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (38)

gnouman
Double authentications + mot de passe de 12 a 16 caractères générer par logiciel de gestionnaire de mot de passe. Je peux pas fair plus…
TotO
Surpris de trouver mon mot de passe sur le post-it en photo !
Popoulo
Moi j’ai rajouté le « 7 ».
Pernel
Un coup de Keepass + 2FA et c’est bon.
alabifr
@PERNEL;<br /> Pareil, quand c’est possible
glandeuranon
Motdepasseclubic69
TotO
Pas con !
gamez
le problème du gestionnaire de mot de passe c’est que si on ne l’a plus, on est foutu
wedgantilles
Sérieusement ils doivent encore recommander de ne pas stocker les mots de passes en clair ? Il y a encore des boites qui font ça ?
Martin_Penwald
Nan mais ça devrait être obligatoire de mettre l’extrait adéquat quand on parle de mots de passe.<br />
Muggsy68
Si. Faire ton propre générateur.<br /> Desfois qu’une backdoor existe dans le soft que tu utilises
Muggsy68
Ptdr
juju251
Si tu pars dans ce principe, tu n’en finis plus : Il faut développer son propre compilateur, des fois que celui utilisé soit conçu pour exfiltrer les données des applications développées avec, développer son Bios, des fois que celui de la machine, etc.
Mr_Electro84
Si !<br /> Jusqu’à très récemment Infogreffe stockait les mot de passe des utilisateurs en clair !<br /> Depuis ils se sont fait sanctionner par la CNIL !
bmustang
faux ! suffit de sauvegarder son coffre vers un fichier crypté et le tour est joué ou avoir 2 vm/docker et mettre en place une synchro au cas l’une tombe et les sauvegardes en plus.
gamez
nan mais dans la situation où tu n’as plus le gestionnaire j’imagine que tu n’aurais pas non plus ce fichier crypté.<br /> exemple, tu te connectes avec un autre appareil que celui où tu as tout sauvegardé (par exemple suite à une panne de ce dernier ou bien tu n’es pas chez toi et tu utilises du matos qui n’est pas le tien)
carinae
Ce n’est peut être pas tant les boîtes qui sont visées que les particuliers. En même temps il y a souvent tellement de mots de passe a gérer qu’à un moment forcément ça soule tout le monde ,. Bon il y a KeePass ou équivalent mais bon devoir utiliser des mots de passe toutes les 5 secondes et les changer tous les 2 mois je comprends qu’au bout d’un moment.,.les gens choisissent la facilité…
Zimt
Elle existe déjà dans les fonctions rand() standard.
idhem59
Au contraire, je ne vois rien de plus simple que l’utilisation d’un bon gestionnaire de mots de passe. Il te génère tout seul des mots de passe solides, te les mémorise, te remplis automatiquement les formulaires de connexion, etc.<br /> A l’usage c’est bien plus confortable que d’avoir le même mot de passe à la con partout et que tu retapes à la main toutes les 5 minutes quand tu dois te connecter quelque part.
lightness
Bon, c’est bien tout ça, mais la CNIL a pensé à une solution fiable dédiés aux particuliers de plus de 50 ans qui ont la maladie de parkinson et des problèmes de cataractes ou encore aux personnes qui ont la maladie d’Alzheimer et qui ne sont pas reconnus malade et qui doivent déclarer leurs impôts en ligne avec une connexion ADSL de 1 méga ?<br /> La CNIL a t-elle donc des Recommandations pour la majorité des Français qui ne sont pas techniciens ou passionné comme nous. Il n’y a pas que l’entreprise dans la vie.
JustinGreen
Il y a les pass phrases bien plus faciles à retenir pour ceux qui ne veulent pas s’embêter. À noter que d’après une étude la plupart des gens créent leurs mots de passe à partir de quelque chose qu’ils aiment. Donc il vaudrait mieux créer ses mots de passe à partir de quelque chose qu’on n’apprécie pas tellement pour éviter qu’ils ne soient retrouvés trop facilement. Du genre :<br /> AhLesBonsChoux2Bruxelles!
KlingonBrain
Bon, c’est bien tout ça, mais la CNIL a pensé à une solution fiable dédiés aux particuliers de plus de 50 ans qui ont la maladie de parkinson et des problèmes de cataractes ou encore aux personnes qui ont la maladie d’Alzheimer et qui ne sont pas reconnus malade et qui doivent déclarer leurs impôts en ligne avec une connexion ADSL de 1 méga ?<br /> La CNIL a t-elle donc des Recommandations pour la majorité des Français qui ne sont pas techniciens ou passionné comme nous. Il n’y a pas que l’entreprise dans la vie.<br /> Peut être la même chose que ceux qui ne peuvent plus tondre leur pelouse ou conduire la voiture pour aller chercher leurs courses : demander de l’aide à quelqu’un.<br /> Ce problème n’est pas lié à la technologie : depuis la nuit des temps, l’homme est confronté à ce moment, ou rattrapé par la vieillesse, il ne peut plus faire certaines choses.<br /> Et la solution est la même depuis la nuit des temps : il faut savoir entretenir les liens sociaux, mais aussi quand on le peut, de rémunérer le service, que ce soit financièrement, ou en rendant soi même service en retour.<br /> Alors je sais que la société moderne nous à vendu le modèle de l’individu qui ne dépends de personne, ne doit rien à personne… et qui dépense égoïstement son pognon dans son coin.<br /> L’ennui, c’est que ce modèle ne fonctionne pas et ne vous mènera pas vers une fin heureuse.<br /> Et je recommande à tous d’en prendre conscience avant de vous retrouver un beau matin dans un hospice abject … après une vie de sacrifice par le travail.
Kaggan
Perso, j’ai une petite technique pour sécuriser mes mdp avec énormément de charactères et facile à retenir.<br /> Mes mots de passe sont composés d’une clé et d’une phrase. La clé est commune à tous mes mots de passes et contient tous les éléments nécessaire à l’obtention d’un MDP fort. La phrase, elle, doit être intuitive.<br /> Par exemple, on peut voir une clé comme : Ab12,?<br /> La clé fait déjà 6 caractères et contient tous les éléments constitutif d’un mot de passe fort (de plus, le « ,? » c’est la même touche sans et avec majuscule).<br /> Maintenant, imaginons un mot de passe pour Amazon. On prend une phrase facile à retenir, donc une petite connerie humoristique. Par exemple : Tringler une Amazone.<br /> Du coup, on peut créer le MDP comme étant la combinaisons clé-phrase-clé<br /> Le mot de passe devient : Ab12,?TringleruneamazoneAb12,? c’est a dire un MDP complexe de 30 caractères.<br /> Au mot de passe Clubic pourrait donner AB12,?PubpourteslaetappleAB12,? ce qui donne 31 caractères en se basant sur certains haters qui polluent les commentaires dès qu’il y a une info sur Apple ou Tesla (le phrase doit être simple a retenir)<br /> Enfin, j’ai un MDP générique pour les sites et forum dont je n’ai rien à faire et où je n’ai aucune info perso qui circule (par exemple mon compte pinterest vu que je ne l’utilise que pour chercher des images pour du JDR par exemple)<br /> En soit, la clé que j’utilise fait plus de 10 caractères et mes phrases sont toujours des conneries que j’associe au site en question.
O.W.7x
Même chose pour moi ! C’est, je pense, ce qu’il y a de plus fiable pour le moment.
TheWitcher
« Recommandations » donc pas « obligations », donc j’en déduis que les sites sont libres de faire comme ils veulent finalement.
zoup01
Ce que tu dis est vrai, mais pour s’en rendre compte, il faut commencer par grandir un peu ( et ça manque à pas mal ici)…<br /> Quand tes parents glissent à toute vitesse vers la dépendance, c’est à ce moment que tu atterris. ( et que tu penses , que le prochain, c’est toi )
ld9474
Ce genre de recommandations il faudrait les suivre. Si le mot avait été obligation, nombre de personnes auraient hurlé à la dictature
kellog89
Ou que si il est piraté, la porte est ouverte à tout
scudo
super idée, mais on va être nombreux avec le même mot de passe
promeneur001
Le problème est que toutes ces recommandations passent largement au-dessus de la tête de Mr et Mme Dupont. Générateur de mdp, gestionnaire de mdp, remplissage automatique, tout ça, c’est du charabia.<br /> En plus des personnes leur disent que le gestionnaire de mdp c’est dangereux. Résultat : M. Dupont met le même mdp partout et en plus le mdp est du genre papa931. C’est sûr, c’est moins dangereux.<br /> Il est urgent de trouver un automatisme d’identification pour Mr et Mme Dupont
Stef_R
J’utilise à peu près la même technique que toi, et je j’insère des espaces par le ALT+255, , mais différent du ALT+20 (du clavier), ou des caractères non accessibles directement type ALT+169 (symbole copyright) ou plus spécifique à la langue française comme « Û »…
f-dzt
Fallait y penser
ld9474
Faut continuer à expliquer. J’ai réussi à sensibiliser mes beaux parents et ils ont finis par acheter un calepin et notent leurs mots de passe dedans. C’est très bien je trouve. Les gestionnaires de mot de passe en ligne ou intégrés dans le navigateur je n’en veut pas perso. Je préfère KeePass
keyplus
moi je suis plus futé c est 54321
TotO
J’ai hésité, je n’étais pas certain que c’était accepté de poster des vidéos.
telefonefix
Mais faut pas mettre P@ssw0rd en mot de passe, il est trop connu
darouine
Je pense que je représente Monsieur et Madame Dupont. Cependant, je fais parti de cette génération qui retenait tous les numéros de téléphones de ses potes ( j’ai 49 ans). J’ai 6 mots de passes différents, le plus petit ayant 15 caractères alphanumériques et caractères spéciaux. C’est presque un jeu pour moi de retenir tous mes mots de passes.
lightness
je suis d’accord et justement c’est là le problème, de l’aide et des bonnes volontés cela existe mais les rencontres sont très aléatoires. et passer la tondeuse c’est pas obligatoire et urgent. déclarer ses impôts chez son voisin quand plus personne ne se connait c’est pas évident. après bien entendu rendre le service rendu c’est dû à la personnalité même après si on veut rester seul on fini par le devenir.
Voir tous les messages sur le forum