Sécurité des mots de passe : la CNIL publie une nouvelle recommandation
La CNIL note que depuis 2021, 60 % des notifications reçues sont liées à du piratage… Ce qui aurait pu être évité en respectant de bonnes pratiques en matière de gestion des mots de passe.
Pour cette raison, et parce que sa précédente recommandation en matière de gestion des mots de passe date de 2017, elle a décidé d’en publier une nouvelle.
Voici les importantes modifications à retenir par rapport à la précédente recommandation de la CNIL :
- il faut un mot de passe qui doit avoir un degré de complexité et non une longueur minimale ;
- l’information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe est retirée de la recommandation ;
- l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques est abandonnée (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus) ;
- une liste de mots de passe complexes mais connus, et donc à éviter compte tenu des nouveaux schémas d’attaque, est introduite.
Outre cette nouvelle recommandation, la CNIL a également publié des questions/réponses pour accompagner les professionnels dans l’amélioration de la sécurité des mots de passe.
Enfin, et pour rappel, vous pouvez vous appuyer sur cette recommandation, mais vous n’êtes pas impérativement tenu de la respecter. Si vous décidez d’utiliser d’autres mesures, vous devez démontrer qu’elles garantissent un niveau de sécurité au moins équivalent (authentification à double facteur, certificats électroniques, etc.).
Source : Actualité de la CNIL du 17 octobre 2022 : « Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité »
Gestion des mots de passe : la sécurité ne s’improvise pas… © Copyright WebLex – 2022