La CNIL adresse des recommandations aux professionnels amenés à gérer des mots de passe, non sans les inviter à utiliser d’autres méthodes d’authentification.
« La multiplication des attaques informatiques, qui a entraîné la compromission de bases de données entières […], a pour conséquence l’amélioration des connaissances des attaquants en matière de mots de passe ».
Ce constat, la CNIL l’établit dans une recommandation adoptée le 19 janvier dernier et dont le texte, publié ce vendredi au Journal officiel, précise les dispositions de la loi du 6 janvier 1978 modifiée.
Non sans rappeler considérer que « d’autres moyens offrent davantage de sécurité, comme par exemple [sic] l’authentification à double facteur ou les certificats électroniques », la commission entend, par la présente, définir des « lignes directrices » à destination des professionnels en matière de gestion des mots de passe*.
Ces « lignes directrices » incluent des modalités techniques et les modalités de leur mise en œuvre. Elles mettent en lumière l’importance des mesures qui viennent compléter le mot de passe, dont la taille et complexité pourront varier en conséquence.
Des chiffres et des lettres
En l’absence d’une quelconque mesure complémentaires, le mot de passe comprendra au moins 12 caractères et associera minuscules, majuscules, chiffres ainsi que caractères spéciaux.
Il pourra être réduit à 8 caractères – d’au moins trois des catégories susmentionnées – si une ou plusieurs restrictions d’accès sont mises en place. Sur la liste figurent le blocage du compte après un maximum de 10 échecs d’authentification consécutifs ou encore la protection contre les soumissions automatisées et intensives (typiquement par le biais d’un captcha).
En savoir plus sur : www.itespresso.fr