La CNIL a publié sa nouvelle recommandation sur les mots de passe. Quels sont les changements par rapport à sa précédente recommandation ?
➡️ Désormais, l’exigence ne porte plus la longueur minimale du mot de passe (12 ou 8 caractères par exemple) mais sur le degré de complexité du mot de passe. La longueur et la complexité doivent être équivalentes à une entropie (= degré d’imprédictibilité) minimum de 80 bits (pour un mot de passe seul sans mesure complémentaire).
Le but : offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage.
➡️ Les règles concernant la création et le renouvellement de mots de passe ont été précisées pour garantir un niveau de sécurité constant tout au long du cycle de vie du mot de passe, sous la forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).
➡️ L’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques a été supprimée. Le renouvellement reste nécessaire pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus.
➡️ Il est recommandé d’établir une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque.
➡️ Le cas d’usage n° 3 qui était prévu (c’est-à-dire, le cas correspondant à une information secrète de 7 caractères et un mot de passe d’au moins 5 caractères) n’est plus recommandé par la CNIL. Les entreprises qui auraient mis en œuvre ce cas d’usage devraient faire évoluer leur politique de mots de passe vers un autre cas.
C’est le moment de vérifier que vos exigences en matière de mots de passe respectent la recommandation de la CNIL !