16 fév 2017

Authentification par mot de passe : nouvelle recommandation de la CNIL

Adoption d’une nouvelle recommandation de la CNIL dédiée à l’enjeu de la sécurisation des mots de passe.

C’est par une délibération en date du 19 janvier 2017 que la CNIL a adopté la recommandation relative aux mots de passe, publiée au Journal Officiel le 27 janvier.

L’autorité fixe ainsi les mesures minimales à mettre en oeuvre afin de sécuriser les mots de passe et prévoit plusieurs exigences :

  • Des exigences en termes de taille et de complexité, celles-ci variant en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification. La CNIL a identifié 4 cas d’authentification par mot de passe : mot de passe seul, avec restriction d’accès, avec information complémentaire et avec matériel détenu par la personne.
  • La sécurisation de l’authentification.
  • La conservation des mots de passe qui ne doivent pas être conservés en clair mais être cryptés.
  • Le renouvellement du mot de passe qui doit être périodique mais qui peut aussi être fait sur demande.

En cas de risque de compromission du mot de passe, la CNIL préconise : de notifier le risque, d’imposer un changement de mot de passe et de recommander un changement sur les autres services.

L’autorité revient sur les risques identifiés et sur ses exigences dans un article publié sur son site : “Authentification par mot de passe : les mesures de sécurité élémentaires