La CNIL met à jour ses recommandations pour l’authentification par mots de passe

En raison de l’augmentation des compromissions de mots de passe, la CNIL a publié le 17 octobre 2022 une version mise à jour de sa recommandation de 2017 concernant l’authentification par mots de passe.

Parmi les recommandations données, nous pouvons relever quelques évolutions qui concernent :

– l’abandon de l’obligation du renouvellement régulier de mot de passe, des études ayant démontré que cela n’était pas réellement efficace ;

-les recommandations visant le degré de complexité du mot de passe et pas une longueur minimale : il s’agit de l’entropie ;

– l’introduction d’une liste de mots de passe complexes à éviter car connus de tous.

La CNIL rappelle également quels sont les quatre facteurs de risques liés à une mauvaise gestion des mots de passe : leur simplicité, l’écoute sur le réseau afin de collecter ceux qui sont transmis, leur conservation en clair et la faiblesse des modalités de leur renouvellement en cas d’oubli.

Soulignant que l’authentification par mots de passe présente un niveau de sécurité faible par rapport à l’authentification forte ou à plusieurs facteurs, la CNIL est consciente qu’il s’agit toutefois du moyen le plus simple et le moins couteux à ce jour pour contrôler un accès.

Cette recommandation est à mettre dans les mains de tous les DPO et RSSI.

Pour en savoir plus :

« Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité », CNIL, 17 octobre 2022

---

Par Laura Martini | News, Protection des données, Sécurité