Mot de passe : les bons conseils de la CNIL aux particuliers comme aux professionnels

Le par  |  9 commentaire(s) Source : CNIL
CNIL

La CNIL dresse régulièrement un bilan des menaces sur Internet et cette fois, la Commission rappelle aux professionnels la bonne façon de gérer les mots de passe.

La CNIL a fait publier une nouvelle recommandation au journal officiel en fin de semaine dernière qui précise les dispositions de la loi du 6 janvier 1978 modifiée sur l'informatique, les fichiers et libertés.

Des recommandations qui s'adressent aussi bien aux professionnels qu'aux particuliers. Rappelons qu'en 2016 dans le monde, 123456 reste le mot de passe le plus souvent utilisé, suivi de sa variante à neuf chiffres, "qwerty" occupant la troisième place (petit rappel dans un tableau disponible ici).

Encore une fois, la liste dressée est affligeante, d'autant que comme la CNIL le précise "le mot de passe offre un faible niveau de sécurité s'il n'est pas associé à d'autres mesures de sécurité." Le bilan se veut inquiétant pour la Commission qui dresse ainsi un ensemble de recommandations "en se basant sur les pratiques d'authentification en vigueur sur les principales plateformes en ligne."

CNIL mot de passe

Quatre points essentiels se trouvent au coeur de ces recommandations, quatre étapes pendant lesquelles la gestion du mot de passe présente des risques : la création, l'authentification, la conservation et le renouvellement.

La création du mot de passe présente le premier risque : il faut choisir un mot de passe complexe, le plus long possible, qui mélange minuscules, majuscules, chiffres et caractères spéciaux. La plateforme qui accueille la création de mots de passe doit s'assurer de la sécurisation de l'espace de création et le chiffrement du mot de passe et du login lors de sa création.

L'authentification nécessite de s'assurer que l'on renseigne ses identifiants auprès du bon service en évitant les tentatives de phishing. Là encore, la plateforme doit s'assurer de l'absence de failles permettant d'intercepter les données.

La conservation du mot de passe est également mise en cause : est-il chiffré sur les plateformes? Les serveurs de stockage sont-ils sécurisés, quel algorithme est utilisé pour son chiffrement ?

Enfin le renouvellement du mot de passe est également un point essentiel : il est recommandé de changer régulièrement de mot de passe, à condition toutefois que les processus proposés sur les plateformes se montrent fiables. En outre, il faut là encore éviter le phishing, utiliser une boite mail sécurisé pour confirmer le changement de mot de passe...

CNIL Mot de passe

La CNIL dresse des recommandations plus spécifiques pour les utilisateurs en fonction du niveau de sécurité des plateformes. La longueur du mot de passe recommandé passe ainsi de 12 à 4 seulement selon les protocoles de sécurités adaptés par les plateformes d'authentification (identification à deux facteurs, blocage passé un nombre d'essais, nécessité de disposer d'un matériel physique unique).

La Commission boucle ses recommandations en rappelant qu'elle propose un générateur de mot de passe robuste pour les utilisateurs en manque d'inspiration.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1948447
Un jour j'ai créé un assez long mot de passe pour un site qui le réclamait (eBay je crois). Une phrase de passe en fait. Sauf que ça ne leur suffisait pas. Il fallait en plus une majuscule et un chiffre.
Bilan : impossible de m'en souvenir !!!
(la phrase oui mais la position de la majuscle et le chiffre impossible !)
Anonyme
Le #1948451
kerlutinoec a écrit :

Un jour j'ai créé un assez long mot de passe pour un site qui le réclamait (eBay je crois). Une phrase de passe en fait. Sauf que ça ne leur suffisait pas. Il fallait en plus une majuscule et un chiffre.
Bilan : impossible de m'en souvenir !!!
(la phrase oui mais la position de la majuscle et le chiffre impossible !)


Ah triste, si je te racontais la complexité de mes mots de passes, tu me prendrais pour un fous dans ce cas là.
Le #1948457
D'accord mais cela devient ingérable !
J'ai au moins 40 ou 50 sites qui demandent une authentification, et tous n'ont pas les mêmes exigences.
Comment vous faites pour retenir autant de mots de passe, sans les consigner par écrit, d'autant qu'il faut en plus les changer régulièrement ?

Le #1948459
Désolé faute de frappe...

Anonyme
Le #1948470
Jeffburlu a écrit :

D'accord mais cela devient ingérable !
J'ai au moins 40 ou 50 sites qui demandent une authentification, et tous n'ont pas les mêmes exigences.
Comment vous faites pour retenir autant de mots de passe, sans les consigner par écrit, d'autant qu'il faut en plus les changer régulièrement ?


J'en ai absolument aucun d'écrit mais je n'ai pas à gérer 50 site web non plus, tout est dans ma tête.

Sinon le papyrus peut-être une bonne alternative.
-------------->[ ]


Le #1948643
Moi, je note mes centaines de mots de passe complexe et unique pour chaque site sur des calepins, qui reste à la maison ( je ne donnerais pas de détails )
Et, surtout pas sur le cloud ou ailleurs, genre disque dur.
Anonyme
Le #1949656
Jeffburlu a écrit :

D'accord mais cela devient ingérable !
J'ai au moins 40 ou 50 sites qui demandent une authentification, et tous n'ont pas les mêmes exigences.
Comment vous faites pour retenir autant de mots de passe, sans les consigner par écrit, d'autant qu'il faut en plus les changer régulièrement ?


Créer un fichier Word ou Excel et le dédier spécialement à la gestion des MDP et modifiable à souhait ...

Le dit fichier, protégé par un accès sécurisé par MDP évidemment !!!
Le #1967992
Jeffburlu a écrit :

D'accord mais cela devient ingérable !
J'ai au moins 40 ou 50 sites qui demandent une authentification, et tous n'ont pas les mêmes exigences.
Comment vous faites pour retenir autant de mots de passe, sans les consigner par écrit, d'autant qu'il faut en plus les changer régulièrement ?


Je suis d'accord avec toi
Le #1967993
Jeffburlu a écrit :

D'accord mais cela devient ingérable !
J'ai au moins 40 ou 50 sites qui demandent une authentification, et tous n'ont pas les mêmes exigences.
Comment vous faites pour retenir autant de mots de passe, sans les consigner par écrit, d'autant qu'il faut en plus les changer régulièrement ?


J'utilise la même variable de mots de passe huit lettres, six chiffres et deux symboles.
22 sites avec 22 mots de passe préalablement écrits.
Il me faut juste que je relis quel site possède quel mot de passe. Une feuille de papier sous mon clavier.
Il me reste une quarantaine de mots de passe pré écrits pour le futur.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]