En 2016, « 123456 » était encore le mot de passe le plus utilisé par les internautes. Oui, en 2016. À croire que les innombrables avertissements concernant la vulnérabilité de tel sésame restent irrémédiablement lettres mortes, les internautes pensant que « ça n’arrive qu’aux autres ».
« Le mot de passe offre pourtant un faible niveau de sécurité s’il n’est pas associé à d’autres mesures de sécurité », rappelle la CNIL. Les internautes utilisent régulièrement le même mot de passe pour plusieurs comptes afin de faciliter leur gestion. Facilitant du même coup leur piratage.
Des mots de passe toujours aussi simples
Une situation qui inquiète la CNIL. La Commission dresse une liste de recommandation à destination des entreprises et des particuliers, « en se basant sur les pratiques d’authentification en vigueur sur les principales plateformes en ligne ».
La Commission relève ainsi 4 étapes de la procédure d’authentification durant lesquelles la gestion du mot de passe comporte des risques :
Une procédure d’authentification à haut risque
Lors de sa création (complexité, longueur), lors de son utilisation (mesure de sécurité mise en place ou non par ma plateforme), lors de sa conservation (est-il suffisamment protégé par le service, est-il chiffré sur les serveurs par exemple) et lors de son renouvelement (quesrenouvellementtrop simple ou risque d’interception), la gestion du mot de passe comporte des risques.
La CNIL relève 4 cas d’authentification par mot de passe et délivre ses recommandations pour chacun d’eux.
« Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification »
Complexité et sécurité
Ainsi, un mot de passe n’aura pas besoin d’être riche en caractère si la plateforme prévoit des mesures d’authentification supplémentaires pour se connecter (code envoyé par SMS par exemple). À l’inverse, il nécessitera au moins 12 caractères variés (majuscules, minuscules, chiffres et caractères spéciaux) pour se révéler un minimum efficace, nonobstant les failles éventuelles durant son acheminement au moment de la connexion.
Les 4 cas d’authentification par mot de passe identifiés par la @CNIL dans sa recommandation → https://t.co/M2OTqcrHig pic.twitter.com/3LKDLR6NlG
— CNIL (@CNIL) 27 janvier 2017
Une carte bancaire ou un téléphone n’a besoin que d’un code à 4 chiffres : non seulement le matériel est détenu par l’utilisateur, mais celui-ci se bloque au bout de 3 tentatives échouées, réduisant les chances de piratage ou d’interception. La nouvelle méthode d’authentification par clé USB ou NFC proposée par Facebook peut s’en rapprocher.
En cas de panne sèche lors de la création d’un mot de passe, la CNIL propose un générateur de mot de passe robuste et sûr, à partir d’une phrase de votre choix.
Par exemple : « En 2016, la dictature s’épanouit sur le terreau de l’ignorance » deviendra : « E2016,lds’ésltdl’i ».
Vous n’avez (vraiment) plus d’excuse désormais.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Lamentable. Je viens d’essayer avec une phrase fictive qui donnait, pas du tout au hasard, Bonjour!2017 comme mot de passe, et la CNIL m’alerte juste que “Votre mot de passe contient un nombre
compris entre 1950 et 2049 qui est fréquemment utilisé dans les mots de
passe”. Donc “Bonjour” c’est pas choquant comme mot de passe pour la CNIL.
Sinon accessoirement une vraie phrase, comme “cemotdepasseestabsolumentinviolable”, est beaucoup plus sécurisé que n’importe laquelle des propositions de la CNIL… Et pour ceux qui redoutent une attaque par dictionnaire, il suffit d’ajouter un caractère spécial au milieu : “cemotdepass^eestabsolumentinviolable”
et on rappelle que les espaces sont autorisés dans les mots de passes.
Oui complètement, mais certaines plateformes antiques limitent les caractères (genre a-z A-Z 0-9 et quelques caractères spéciaux) à mettre dans un mot de passe… Tout comme le nombre d’ailleurs. Mais dans la mesure du possible on peut écrire une vraie phrase, effectivement.
Ou tout simplement avec du leet aléatoirement :
“M0t d3 p4sse d3 M0rova1lle”
Mor0v4ill3 ? Ou bien était-ce M0r0va1ll3, ou m0rova1lle ? C’est une bonne idée mais n’apporte pas beaucoup plus de moyen mnémotechnique que le pur aléatoire.
C’est bien joli tout ça mais avec cette communication ne déresponsabilise t’on pas un peu les sites, blog, etc, où un mot de passe est nécessaire ? Attention, je n’ai pas non plus dit que le consommateur ne devait pas rester vigilent, hein…