La CNIL vous aide à générer de bons mots de passe

Sur le web

Par Elodie le

Face aux cyberattaques qui se multiplient et aux vols de données qui en résultent, la CNIL publie régulièrement ses recommandations en matière de sécurité informatique. Cette semaine, elle s’attaque au faible niveau de sécurité des mots de passe.

Sans armes, ni haine, ni violence
Sans armes, ni haine, ni violence

En 2016, « 123456 » était encore le mot de passe le plus utilisé par les internautes. Oui, en 2016. À croire que les innombrables avertissements concernant la vulnérabilité de tel sésame restent irrémédiablement lettres mortes, les internautes pensant que « ça n’arrive qu’aux autres ».

« Le mot de passe offre pourtant un faible niveau de sécurité s’il n’est pas associé à d’autres mesures de sécurité », rappelle la CNIL. Les internautes utilisent régulièrement le même mot de passe pour plusieurs comptes afin de faciliter leur gestion. Facilitant du même coup leur piratage.

Des mots de passe toujours aussi simples

Une situation qui inquiète la CNIL. La Commission dresse une liste de recommandation à destination des entreprises et des particuliers, « en se basant sur les pratiques d’authentification en vigueur sur les principales plateformes en ligne ».

La Commission relève ainsi 4 étapes de la procédure d’authentification durant lesquelles la gestion du mot de passe comporte des risques :

capture d'écran - CNIL
capture d’écran – CNIL

Une procédure d’authentification à haut risque

Lors de sa création (complexité, longueur), lors de son utilisation (mesure de sécurité mise en place ou non par ma plateforme), lors de sa conservation (est-il suffisamment protégé par le service, est-il chiffré sur les serveurs par exemple) et lors de son renouvelement (quesrenouvellementtrop simple ou risque d’interception), la gestion du mot de passe comporte des risques.

La CNIL relève 4 cas d’authentification par mot de passe et délivre ses recommandations pour chacun d’eux.

« Les exigences minimales de la CNIL en termes de taille et de complexité du mot de passe varient en fonction des mesures complémentaires mises en place pour fiabiliser le processus d’authentification »

Complexité et sécurité

Ainsi, un mot de passe n’aura pas besoin d’être riche en caractère si la plateforme prévoit des mesures d’authentification supplémentaires pour se connecter (code envoyé par SMS par exemple). À l’inverse, il nécessitera au moins 12 caractères variés (majuscules, minuscules, chiffres et caractères spéciaux) pour se révéler un minimum efficace, nonobstant les failles éventuelles durant son acheminement au moment de la connexion.

Une carte bancaire ou un téléphone n’a besoin que d’un code à 4 chiffres : non seulement le matériel est détenu par l’utilisateur, mais celui-ci se bloque au bout de 3 tentatives échouées, réduisant les chances de piratage ou d’interception. La nouvelle méthode d’authentification par clé USB ou NFC proposée par Facebook peut s’en rapprocher.

En cas de panne sèche lors de la création d’un mot de passe, la CNIL propose un générateur de mot de passe robuste et sûr, à partir d’une phrase de votre choix.

Par exemple : « En 2016, la dictature s’épanouit sur le terreau de l’ignorance » deviendra : « E2016,lds’ésltdl’i ».

Vous n’avez (vraiment) plus d’excuse désormais.