Web

Mot de passe, la CNIL publie ses conseils pour bien se protéger

L’Autorité française de contrôle en matière de protection des données personnelles propose ses conseils en matière de mot de passe. Il s’agit de recommandations pour les professionnels mais les règles décrites s’appliquent aussi pour le grand public. Voici ce qu’il faut retenir lors du choix de votre mot de passe.

Mot de passe le plus utilisé en 2016, 123456
Mot de passe le plus utilisé en 2016, 123456

Le mot de passe est sans nul doute la méthode la plus répandue pour protéger des données. La CNIL propose aux entreprises un document nommé “recommandation relative aux mots de passe”. Il s’agit d’une synthèse des bonnes pratiques à mettre en œuvre autour de cette technologie. Elles répondent à différents scénario et peuvent aussi être appliquées par monsieur tout le monde.

CNIL et le mot de passe, la complexité est le clé.

Avant d’entrée dans le vif du sujet, une chose ressort, plus le mot de passe est complexe, plus il assure une sécurité « viable » des données qu’il protège.

La CNIL estime que si le classique couple identifiant/mot de passe assure à lui seul l’authentification, le mot de passe doit comporter au minimum douze caractères en mélangeant majuscules, minuscules, chiffres et caractères spéciaux.

Dans l’hypothèse où ce couple s’accompagne de mesures permettant de restreindre l’accès au compte après plusieurs échecs, un mot de passe à 8 caractères est suffisant. Il devra toujours proposer une certaine complexité en mélangeant majuscules, minuscules, chiffres et caractères spéciaux.

Il peut comporter un minium de  5 caractères si l’authentification s’appuie sur une identification de la machine comme un repérage par son adresse IP.

Enfin l’usage de quatre caractères n’est conseillé que si une identification matérielle l’accompagne (Cle USB par exemple).

Le document fait aussi mention d’autres pratiques qui concernent par contre les entreprises en charge d’élaborer cette technique d’authentification.  Elle rappelle ainsi si la nécessité d’un chiffrement des mots de passe stockés et des échanges entre serveur et client. A cela s’ajoute des restrictions d’accès au compte basées sur

«  Une temporisation après plusieurs échecs, dont la durée augmente exponentiellement dans le temps, un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives  et un blocage du compte après un nombre d’authentifications échouées consécutives au plus égal à 10. »

 

 

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page