© Fotolia
© Fotolia

La CNIL a mis à jour ses recommandations concernant la sécurité des mots de passe, voici ce que l'on peut en retenir.

La Commission nationale de l'informatique et des libertés (CNIL) a publié une nouvelle directive sur la sécurisation des mots de passe. Si celle-ci s'adresse essentiellement aux entreprises, de plus en plus sujettes à des fuites de données et des cyberattaques, les recommandations peuvent aussi être appliquées par les particuliers.

Quel degré de complexité du mot de passe choisir ?

La CNIL a identifié trois cas, pour lesquels elle a attribué différents niveaux d’entropie. Elle donne des exemples de mots de passe répondant au niveau d’entropie correspondant.

  • Mot de passe seul : minimum de 12 caractères (avec majuscule, minuscule, chiffre, caractère spécial) ou minimum de 14 caractères (avec majuscule, minuscule, chiffre).
  • Mécanisme de restriction de l’accès au compte après plusieurs échecs d’authentification : minimum de 8 caractères comportant 3 des 4 catégories de caractères (majuscule, minuscule, chiffre, caractère spécial) ou minimum de 16 chiffres.
  • Matériel détenu par la personne avec dispositif de blocage après 3 échecs d’authentification : minimum de 4 chiffres décimaux.

Ajoutons que la CNIL ne recommande plus d’utiliser une information complémentaire, comme le nom des parents, d'un animal de compagnie, ou autre donnée personnelle, pour sécuriser un mot de passe.

Ne jamais stocker les mots de passe en clair

La CNIL rappelle également que sous aucun prétexte les mots de passe ne doivent être stockés en clair. « Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé », ajoute la Commission, qui cite les fonctions scrypt ou Argon2 comme solutions de chiffrement des mots de passe.

Réagissant à cette mise à jour des recommandations de la CNIL, Me Alexandre Lazarègue, spécialisé en droit du numérique, évoque par ailleurs le sujet de la biométrie comme méthode d'authentification. Selon lui, celle-ci comporte des risques, car si les données biométriques tombent entre de mauvaises mains, elles ne peuvent logiquement pas être modifiées, au contraire d'un mot de passe. Cela peut entraîner une « compromission susceptible d'entraîner des usurpations d'identité à répétition », d'après l'expert, qui conseille plutôt le recours à des mots de passe complexes.

Source : Communiqué de presse

Meilleur gestionnaire de mots de passe gratuit ou payant, le comparatif en mars 2026
Meilleur gestionnaire de mots de passe gratuit ou payant, le comparatif en mars 2026
En mars 2026, nous avons testé 6 gestionnaires de mots de passe, gratuits et payants, en tenant compte de la sécurité, l’ergonomie et la gestion multi-appareils. 1Password arrive en tête des meilleurs services grâce à une expérience très aboutie, une organisation claire des coffres et une gestion familiale simple à piloter au quotidien. Proton Pass et Bitwarden complètent le podium, avec des approches différentes mais solides, l’un très centré sur la confidentialité, l’autre apprécié pour sa souplesse et sa transparence.