Mots de passe : la CNIL fait ses recommandations, êtes-vous dans les clous ?

Alexandre Schmid
Publié le 19 octobre 2022 à 16h20
© Fotolia
© Fotolia

La CNIL a mis à jour ses recommandations concernant la sécurité des mots de passe, voici ce que l'on peut en retenir.

La Commission nationale de l'informatique et des libertés (CNIL) a publié une nouvelle directive sur la sécurisation des mots de passe. Si celle-ci s'adresse essentiellement aux entreprises, de plus en plus sujettes à des fuites de données et des cyberattaques, les recommandations peuvent aussi être appliquées par les particuliers.

Quel degré de complexité du mot de passe choisir ?

La CNIL a identifié trois cas, pour lesquels elle a attribué différents niveaux d’entropie. Elle donne des exemples de mots de passe répondant au niveau d’entropie correspondant.

  • Mot de passe seul : minimum de 12 caractères (avec majuscule, minuscule, chiffre, caractère spécial) ou minimum de 14 caractères (avec majuscule, minuscule, chiffre).
  • Mécanisme de restriction de l’accès au compte après plusieurs échecs d’authentification : minimum de 8 caractères comportant 3 des 4 catégories de caractères (majuscule, minuscule, chiffre, caractère spécial) ou minimum de 16 chiffres.
  • Matériel détenu par la personne avec dispositif de blocage après 3 échecs d’authentification : minimum de 4 chiffres décimaux.

Ajoutons que la CNIL ne recommande plus d’utiliser une information complémentaire, comme le nom des parents, d'un animal de compagnie, ou autre donnée personnelle, pour sécuriser un mot de passe.

Ne jamais stocker les mots de passe en clair

La CNIL rappelle également que sous aucun prétexte les mots de passe ne doivent être stockés en clair. « Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé », ajoute la Commission, qui cite les fonctions scrypt ou Argon2 comme solutions de chiffrement des mots de passe.

Réagissant à cette mise à jour des recommandations de la CNIL, Me Alexandre Lazarègue, spécialisé en droit du numérique, évoque par ailleurs le sujet de la biométrie comme méthode d'authentification. Selon lui, celle-ci comporte des risques, car si les données biométriques tombent entre de mauvaises mains, elles ne peuvent logiquement pas être modifiées, au contraire d'un mot de passe. Cela peut entraîner une « compromission susceptible d'entraîner des usurpations d'identité à répétition », d'après l'expert, qui conseille plutôt le recours à des mots de passe complexes.

Source : Communiqué de presse

Meilleur gestionnaire de mots de passe, le comparatif en 2024
Meilleur gestionnaire de mots de passe, le comparatif en 2024
Protéger ses informations personnelles et ses données en ligne est devenu crucial, ce qui rend les gestionnaires de mots de passe indispensables. Alors, en mai 2024, quels sont les meilleurs d'entre eux ?
Par Alexandre Schmid
X

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Articles d'Alexandre Schmid
Actualités High-Tech
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
gnouman

Double authentications + mot de passe de 12 a 16 caractères générer par logiciel de gestionnaire de mot de passe. Je peux pas fair plus…

TotO

Surpris de trouver mon mot de passe sur le post-it en photo !

Popoulo

Moi j’ai rajouté le « 7 ». :shushing_face:

Pernel

Un coup de Keepass + 2FA et c’est bon.

alabifr

@PERNEL;
Pareil, quand c’est possible

glandeuranon

Motdepasseclubic69

TotO

Pas con !

gamez

le problème du gestionnaire de mot de passe c’est que si on ne l’a plus, on est foutu

wedgantilles

Sérieusement ils doivent encore recommander de ne pas stocker les mots de passes en clair ? Il y a encore des boites qui font ça ?

Martin_Penwald

Nan mais ça devrait être obligatoire de mettre l’extrait adéquat quand on parle de mots de passe.

Sur le même sujet
Prudence, car la majorité des mots de passe compromis respecte les exigences réglementaires
30 commentaires
Et le mot de passe le plus populaire en France est...
24 commentaires
Le mot de passe à usage unique : c'est pratique, mais ça a ses limites
10 commentaires
Mots de passe, codes, biométrie ? Quelles sont les méthodes d'authentification les plus sécurisées ?
1 commentaire
Fuite de données de santé : la CNIL déconseille l'utilisation des sites qui checkent votre situation
7 commentaires
Facebook
X