logo adn ervp

Complexité et Longueur des Mots de Passe

Complexité :

  • Les de passe doivent inclure une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux pour réduire le risque de décryptage par des attaques par force brute.

Longueur :

  • La CNIL recommande une longueur minimale de 12 caractères pour les mots de passe simples. Pour des mots de passe plus complexes, une longueur de 8 caractères peut suffire.

Politique de Changement de Mots de Passe

Fréquence de changement :

  • La CNIL déconseille de forcer les utilisateurs à changer leur mot de passe trop fréquemment, car cela peut encourager des pratiques non sécurisées (comme l’utilisation de motifs prévisibles). Une réinitialisation est toutefois nécessaire après un incident de sécurité.

Non-réutilisation :

  • Les utilisateurs ne doivent pas être autorisés à réutiliser leurs anciens mots de passe. Un historique des mots de passe antérieurs doit être conservé pour empêcher leur réutilisation.

Gestion et Stockage des Mots de Passe

Stockage sécurisé :

  • Les mots de passe doivent être stockés sous forme hachée (avec des algorithmes robustes comme bcrypt, scrypt ou Argon2) et salés pour éviter les attaques par dictionnaire.

Transmission sécurisée :

  • Lors de l’authentification, les mots de passe doivent être transmis sur des canaux sécurisés (par exemple, via HTTPS) pour prévenir les interceptions.

Utilisation de méthodes d’authentification multiples

Authentification multifactorielle (MFA) :

  • La CNIL recommande l’utilisation de MFA pour renforcer la sécurité. Cela peut inclure des combinaisons de mots de passe avec des facteurs additionnels tels que des codes envoyés par SMS, des applications d’authentification, des empreintes numériques, etc.

Formation et Sensibilisation des Utilisateurs

Sensibilisation :

  • Les utilisateurs doivent être formés aux bonnes pratiques en matière de création et de gestion des mots de passe. Ils doivent comprendre l’importance de choisir des mots de passer complexes et de ne pas les partager.

Outils de gestion :

  • Encourager l’utilisation de gestionnaires de mots de passe pour générer et stocker des mots de passe complexes et uniques pour chaque service.

Surveillance et réaction aux incidents

Détection des accès non autorisés :

  • Mettre en place des systèmes de surveillance pour détecter et réagir rapidement à toute tentative d’accès non autorisé.

Procédure de réinitialisation :

  • Assurer une procédure sécurisée pour la réinitialisation des mots de passe, qui inclut des vérifications d’identité rigoureuses pour éviter les usurpations d’identité.

En suivant ces recommandations de la CNIL, les organisations peuvent renforcer la sécurité de leurs systèmes d’information et protéger efficacement les données personnelles contre les accès non autorisés. La mise en place de ces mesures de sécurité est essentielle pour se conformer aux exigences du RGPD et pour maintenir la confiance des utilisateurs.