La CNIL a pris la décision de créer un document particulièrement complet sur les recommandations de l’autorité pour le choix d’un mot de passe en entreprise. Vous pouvez retrouver ce document à cette adresse. Ce code de bonnes pratiques fournit de très bons conseils pour choisir un bon mot de passe selon différents cas de figure.
Un guide pratique de la CNIL pour bien gérer ses mots de passe
En effet, tous les systèmes d’authentification ne nécessitent pas la même robustesse car si un simple couple « identifiant/mot de passe » nécessite un minimum de 12 caractères alternant majuscules, caractères spéciaux, minuscules et numéros, ce même couple protégé par des systèmes de restrictions en cas de plusieurs tentatives, peut être réduit à 8 caractères.
Lorsque ce mot de passe nécessite un autre facteur pour l’authentification, comme l’adresse IP de la machine par exemple, alors 5 caractères peuvent suffire. Un mot de passe peut même seulement contenir quatre caractères, lorsque que pour valider l’authentification il est nécessaire de passer par une clé physique.
On voit donc que chaque cas est différent et que les employés sont rarement informés du mode d’authentification, la CNIL explique donc : « La robustesse de cette authentification repose exclusivement sur la qualité intrinsèque du mot de passe de l’utilisateur. Aussi, la commission estime que le responsable de traitement se doit d’alerter l’utilisateur à ce sujet et, dans la mesure du possible, le conseiller dans la création de son mot de passe ».
La CNIL recommande également aux entreprises de généraliser le chiffrement des mots de passe stockés dans les bases de données, le cryptage des échanges entre serveur et client, mais aussi le recours aux techniques de salage. L’actualité récente a montré que les piratages deviennent de plus en plus massifs et que les hackers ont bien compris que les bases de données avaient une valeur marchande, l’ensemble des conseils de la CNIL permettront de mieux lutter contre ce type de délinquance.
Et vous, souhaitez-vous faire part d’un conseil important sur le sujet à tous les lecteurs ?
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Pour les entreprises, il y a une alternative aux systèmes d’authentification par mot de passe, il s’agit de remauth.com qui propose de l’authentification sans mot de passe as a service.
Pour l’entreprise c’est plus sûr et pour l’utilisateur final c’est plus simple.
Le service RemAuth a été arrêté le 10 août 2018.