© Fotolia
© Fotolia

La CNIL a mis à jour ses recommandations concernant la sécurité des mots de passe, voici ce que l'on peut en retenir.

La Commission nationale de l'informatique et des libertés (CNIL) a publié une nouvelle directive sur la sécurisation des mots de passe. Si celle-ci s'adresse essentiellement aux entreprises, de plus en plus sujettes à des fuites de données et des cyberattaques, les recommandations peuvent aussi être appliquées par les particuliers.

Quel degré de complexité du mot de passe choisir ?

La CNIL a identifié trois cas, pour lesquels elle a attribué différents niveaux d’entropie. Elle donne des exemples de mots de passe répondant au niveau d’entropie correspondant.

  • Mot de passe seul : minimum de 12 caractères (avec majuscule, minuscule, chiffre, caractère spécial) ou minimum de 14 caractères (avec majuscule, minuscule, chiffre).
  • Mécanisme de restriction de l’accès au compte après plusieurs échecs d’authentification : minimum de 8 caractères comportant 3 des 4 catégories de caractères (majuscule, minuscule, chiffre, caractère spécial) ou minimum de 16 chiffres.
  • Matériel détenu par la personne avec dispositif de blocage après 3 échecs d’authentification : minimum de 4 chiffres décimaux.

Ajoutons que la CNIL ne recommande plus d’utiliser une information complémentaire, comme le nom des parents, d'un animal de compagnie, ou autre donnée personnelle, pour sécuriser un mot de passe.

Ne jamais stocker les mots de passe en clair

La CNIL rappelle également que sous aucun prétexte les mots de passe ne doivent être stockés en clair. « Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé », ajoute la Commission, qui cite les fonctions scrypt ou Argon2 comme solutions de chiffrement des mots de passe.

Réagissant à cette mise à jour des recommandations de la CNIL, Me Alexandre Lazarègue, spécialisé en droit du numérique, évoque par ailleurs le sujet de la biométrie comme méthode d'authentification. Selon lui, celle-ci comporte des risques, car si les données biométriques tombent entre de mauvaises mains, elles ne peuvent logiquement pas être modifiées, au contraire d'un mot de passe. Cela peut entraîner une « compromission susceptible d'entraîner des usurpations d'identité à répétition », d'après l'expert, qui conseille plutôt le recours à des mots de passe complexes.

Source : Communiqué de presse

Meilleur gestionnaire de mots de passe, le comparatif en 2024
Meilleur gestionnaire de mots de passe, le comparatif en 2024
La sécurité des données personnelles est plus importante que jamais, surtout à l’approche des fêtes de fin d’année. Avec l’explosion des achats en ligne, identifiants et mots de passe deviennent des cibles privilégiées pour les hackers, soulignant la nécessité d’une protection renforcée. Si vous n’avez pas encore adopté un gestionnaire de mots de passe, c’est le moment de sécuriser vos informations sensibles. Pour vous accompagner, la rédaction de Clubic a sélectionné les meilleurs gestionnaires de mots de passe pour décembre 2024, alliant simplicité, fiabilité et une protection adaptée aux défis numériques actuels.