Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité

Milano, 8.5.2024

Accesso

oppure

Dallo store:

La banca dati:

210 voci nel dizionario
2159 documenti
1449 temi
149 dossier

store
i prodotti

documento

2023-02-13 · NEW: Appunta · Stampa · Cita: 'Doc 96384' · pdf

Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité

abstract:

Documento annotato il 13.02.2023 Fonte: GPDP
Link: https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-

analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

index:

Indice

Longueur
Des contributions précieuses des profes
équivalents en termes d’entropie et
Exemple 1
Exemple 2
Exemple 3
dans sa nouvelle recommandation.

testo:

estimated reading time: 6 min

Il n’existe pas de définition universelle d’un bon mot de passe mais il faut qu’il soit difficile à deviner. Pour cela, on peut jouer sur sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite par force brute).

Évolutions de la recommandation depuis 2017

Par rapport à la précédente recommandation de 2017, la nouvelle recommandation apporte notamment les modifications suivantes :

Les recommandations visent le degré de complexité du mot de passe (l’entropie) et non une longueur min imale, afin d’offrir plus de liberté dans la définition de politiques de mots de passe robustes et adaptées aux cas d’usage.
Le retrait du cas d’usage reposant sur une information secrète comme mesure permettant de baisser les exigences de sécurité sur le mot de passe (cas 3 de la recommandation de 2017).
L’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (le renouvellement reste requis pour les comptes à « privilèges », c’est-à-dire du type administrateur ou avec des droits étendus).
L'introduction d’une liste de mots de passe complexes mais connus et donc à éviter compte tenu des nouveaux schémas d’attaque.
Des précisions sur les règles concernant la création et le renouvellement de mots de passe pour garantir un niveau de sécurité constant tout au long du cycle de vie du mot de passe, sous la forme de bonnes pratiques (gestionnaire de mot de passe, non recours à des informations évidentes).

Des contributions précieuses des professionnels et du grand public

La Cnil avait lancé, en octobre 2021, une consultation publique sur son projet de nouvelle recommandation sur les mots de passe.

Les réponses reçues, d’une grande qualité, ont confirmé les grandes orientations du projet, qui était considéré comme pertinent (pour 96 % des répondants). Le niveau de sécurité proposé a également été considéré comme satisfaisant pour 84,3 % des répondants.

Les retours ont surtout permis de clarifier et d’expliciter les recommandations de la Cnil mais aussi de compléter le projet avec des bonnes pratiques supplémentaires. Enfin, ils ont amené la Cnil à ne plus recommander un cas d’usage, considéré comme trop faible.

Les principales recommandations de la CNIL

L’authentification par mot de passe : devinabilité ou entropie

Dès aujourd’hui, l’entropie

Pour vérifier la robustesse d’un mot de passe, en l’état actuel de l’art, il est nécessaire de se reposer sur la définition de critères de complexité et de longueur. Pour chaque système d’information, ou chaque traitement de données personnelles, une politique de mots de passe est définie. Cette politique indique les critères qui doivent être respectés pour qu’un mot de passe soit « acceptable » sur ce système. La recommandation de 2017 définissait des seuils en termes de nombre de caractères et de complexité de chaque mot de passe. Cependant, cette définition manquait de flexibilité, d’où l’introduction du concept d’« entropie » afin de pouvoir comparer la robustesse de différentes politiques de mots de passe.

L’« entropie » peut être définie dans ce contexte comme la quantité de hasard. Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute. Ici, le terme d’entropie, appliqué à un mot de passe, correspond à son entropie idéale dans l’hypothèse où il serait généré aléatoirement, sachant que toute règle de construction d’un mot de passe conduit nécessairement à limiter l’espace des choix possibles, et donc à limiter son entropie pour une longueur donnée. Par exemple, choisir un mot de passe parmi les mots d’une langue revient à limiter très fortement le nombre de combinaisons de lettres possibles en pratique. En effet, chaque langue n’admet qu’un nombre limité de suites de lettres, servant à former les syllabes des mots. La tentation, pour de nombreux utilisateurs, de choisir des mots de passe « simples à retenir » facilite les attaques dites « par dictionnaire », dans lesquelles, au lieu de tester par force brute l’intégralité des combinaisons possibles, n’en sont testées qu’un nombre très limité, comprenant des mots du dictionnaire ou des prénoms, ainsi que leurs dérivations « classiques » (par exemple, du mot « kangourou », seront dérivées et testées des combinaisons telles que « k4ng0urou », « kangourou01 », « KaNgOuRoU », etc.).

Ici, ce principe nous permet de définir un niveau min imal générique de 80 bits d'entropie pour un mot de passe sans mesure complémentaire, et de laisser à chacun le loisir de définir sa politique de mot de passe. Ainsi, les trois exemples suivants sont équivalents en termes d’entropie et répondent tous aux préconisations de la nouvelle recommandation :

Exemple 1 : les mots de passe doivent être composés d'au min imum 12 caractères comprenant des majuscules, des min uscules, des chiffres et des caractères spéciaux à choisir dans une liste d'au moins 37 caractères spéciaux possibles.

Exemple 2 : les mots de passe doivent être composés d'au min imum 14 caractères comprenant des majuscules, des min uscules et des chiffres, sans caractère spécial obligatoire.

Exemple 3 : une phrase de passe doit être utilisée et elle doit être composée d’au min imum 7 mots.

Demain, la devinabilité

La notion de « devinabilité » est une nouvelle approche pour déterminer la robustesse d’un mot de passe. Elle consiste à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un adversaire de retrouver un mot de passe donné. Il s’agit donc, non pas de vérifier le respect d’une politique de mots de passe fixant une complexité formelle min imale, mais d’évaluer dynamiquement la résistance du mot de passe choisi.

La littérature sur le sujet recommande une résistance aux attaques min imale de 10¹⁴ essais. Cependant, au moment de la publication de ces recommandations, les outils pour mettre en œuvre cette méthode, a priori plus fiable que la seule vérification de complexité, ne sont pas encore disponibles pour des utilisateurs francophones : la Cnil ne dispose donc pas actuellement du recul nécessaire pour déterminer le niveau de résistance équivalent aux niveaux décrits dans la présente recommandation.

Elle sera attentive aux nouveaux développements dans ce domaine, notamment quant à la disponibilité de solutions librement accessibles qu'elle pourra évaluer.

Pour aller plus loin :

Trois politiques de mots de passe au niveau équivalent

La Cnil a identifié 3 cas d’usages à l’état de l’art différents pour l’utilisation des mots de passe qui sont associés à des niveaux min imaux d’entropies différents :

l’authentification par mot de passe « simple » ;
le cas où des mesures limitant les risques d’attaque en ligne sont mises en œuvre ;
et enfin, le cas du code de déverrouillage d’un matériel.

Le tableau ci-dessous recense les 3 cas d’authentification par mot de passe identifiés par la Cnil dans sa nouvelle recommandation. Le contrôle d’accès devra reposer sur des règles plus robustes selon les risques auxquels le système est exposé.

Exemple d'utilisation	Entropie min imum	Mesures complémentaires
Mot de passe seul	Forum, blog	80	Conseiller l'utilisateur sur un bon mot de passe
Avec restriction d'accès (le plus répandu)	Sites de e-commerce, compte d'entreprise, webmail	50	Mécanisme de restriction d'accès au compte : (exemples) Temporisation d'accès au compte après plusieurs échecs ; Nombre maximal de tentatives autorisées dans un délai donné ; "Captcha" ; Blocage du compte après 10 échecs assorti d'un mécanisme de déblocage choisi en fonction des risques d'usurpation d'identité et d'attaque ciblé par déni de service.
Avec matériel détenu par la personne	Carte bancaire ou téléphone	13	Matériel détenu en propre par la personne (ex: carte SIM, carte bancaire, certificat) + Blocage au bout de 3 tentatives échouées

Exemple d'utilisation

Entropie min imum

Mesures complémentaires

Mot de passe seul

Forum, blog

Conseiller l'utilisateur sur un bon mot de passe

Avec restriction d'accès (le plus répandu)

Sites de e-commerce, compte d'entreprise, webmail

Mécanisme de restriction d'accès au compte : (exemples)

Temporisation d'accès au compte après plusieurs échecs ;
Nombre maximal de tentatives autorisées dans un délai donné ;
"Captcha" ;
Blocage du compte après 10 échecs assorti d'un mécanisme de déblocage choisi en fonction des risques d'usurpation d'identité et d'attaque ciblé par déni de service.

Avec matériel détenu par la personne

Carte bancaire ou téléphone

Matériel détenu en propre par la personne (ex: carte SIM, carte bancaire, certificat)

Blocage au bout de 3 tentatives échouées

Link: https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-

Testo del 2023-02-13 Fonte: GPDP

Documento Password French Cnil Guidelines Privacynews Privacydb Wallabag

Commenta

i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.

Newsletter

Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza