PodMaster.it, Social media non vi temo - Ascolti tra Marketing e AI
documento | 2023-02-13 · NEW: ![]() |
Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité |
abstract:
Link: https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-
analisi:
index:
Indice
- Longueur
- Des contributions précieuses des profes
- équivalents en termes d’entropie et
- Exemple 1
- Exemple 2
- Exemple 3
- dans sa nouvelle recommandation.
testo:
E estimated reading time: 6 min
Il n’existe pas de définition universelle d’un bon mot de passe mais il faut qu’il soit difficile à deviner. Pour cela, on peut jouer sur sa complexité et sa longueur pour diminuer le risque de réussite d’une attaque informatique qui consisterait à tester successivement de nombreux mots de passe (attaque dite par force brute). Par rapport à la précédente recommandation de 2017, la nouvelle recommandation apporte notamment les modifications suivantes : Des contributions précieuses des professionnels et du grand public La Cnil avait lancé, en octobre 2021, une consultation publique sur son projet de nouvelle recommandation sur les mots de passe. Les réponses reçues, d’une grande qualité, ont confirmé les grandes orientations du projet, qui était considéré comme pertinent (pour 96 % des répondants). Le niveau de sécurité proposé a également été considéré comme satisfaisant pour 84,3 % des répondants. Les retours ont surtout permis de clarifier et d’expliciter les recommandations de la Cnil mais aussi de compléter le projet avec des bonnes pratiques supplémentaires. Enfin, ils ont amené la Cnil à ne plus recommander un cas d’usage, considéré comme trop faible. Pour vérifier la robustesse d’un mot de passe, en l’état actuel de l’art, il est nécessaire de se reposer sur la définition de critères de complexité et de longueur. Pour chaque système d’information, ou chaque traitement de données personnelles, une politique de mots de passe est définie. Cette politique indique les critères qui doivent être respectés pour qu’un mot de passe soit « acceptable » sur ce système. La recommandation de 2017 définissait des seuils en termes de nombre de caractères et de complexité de chaque mot de passe. Cependant, cette définition manquait de flexibilité, d’où l’introduction du concept d’« entropie » afin de pouvoir comparer la robustesse de différentes politiques de mots de passe. L’« entropie » peut être définie dans ce contexte comme la quantité de hasard. Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute. Ici, le terme d’entropie, appliqué à un mot de passe, correspond à son entropie idéale dans l’hypothèse où il serait généré aléatoirement, sachant que toute règle de construction d’un mot de passe conduit nécessairement à limiter l’espace des choix possibles, et donc à limiter son entropie pour une longueur donnée. Par exemple, choisir un mot de passe parmi les mots d’une langue revient à limiter très fortement le nombre de combinaisons de lettres possibles en pratique. En effet, chaque langue n’admet qu’un nombre limité de suites de lettres, servant à former les syllabes des mots. La tentation, pour de nombreux utilisateurs, de choisir des mots de passe « simples à retenir » facilite les attaques dites « par dictionnaire », dans lesquelles, au lieu de tester par force brute l’intégralité des combinaisons possibles, n’en sont testées qu’un nombre très limité, comprenant des mots du dictionnaire ou des prénoms, ainsi que leurs dérivations « classiques » (par exemple, du mot « kangourou », seront dérivées et testées des combinaisons telles que « k4ng0urou », « kangourou01 », « KaNgOuRoU », etc.). Ici, ce principe nous permet de définir un niveau min imal générique de 80 bits d'entropie pour un mot de passe sans mesure complémentaire, et de laisser à chacun le loisir de définir sa politique de mot de passe. Ainsi, les trois exemples suivants sont équivalents en termes d’entropie et répondent tous aux préconisations de la nouvelle recommandation : Exemple 1 : les mots de passe doivent être composés d'au min imum 12 caractères comprenant des majuscules, des min uscules, des chiffres et des caractères spéciaux à choisir dans une liste d'au moins 37 caractères spéciaux possibles. Exemple 2 : les mots de passe doivent être composés d'au min imum 14 caractères comprenant des majuscules, des min uscules et des chiffres, sans caractère spécial obligatoire. Exemple 3 : une phrase de passe doit être utilisée et elle doit être composée d’au min imum 7 mots. La notion de « devinabilité » est une nouvelle approche pour déterminer la robustesse d’un mot de passe. Elle consiste à évaluer, au moyen de traitements algorithmiques dédiés, la facilité pour un adversaire de retrouver un mot de passe donné. Il s’agit donc, non pas de vérifier le respect d’une politique de mots de passe fixant une complexité formelle min imale, mais d’évaluer dynamiquement la résistance du mot de passe choisi. La littérature sur le sujet recommande une résistance aux attaques min imale de 1014 essais. Cependant, au moment de la publication de ces recommandations, les outils pour mettre en œuvre cette méthode, a priori plus fiable que la seule vérification de complexité, ne sont pas encore disponibles pour des utilisateurs francophones : la Cnil ne dispose donc pas actuellement du recul nécessaire pour déterminer le niveau de résistance équivalent aux niveaux décrits dans la présente recommandation. Elle sera attentive aux nouveaux développements dans ce domaine, notamment quant à la disponibilité de solutions librement accessibles qu'elle pourra évaluer. Pour aller plus loin : La Cnil a identifié 3 cas d’usages à l’état de l’art différents pour l’utilisation des mots de passe qui sont associés à des niveaux min imaux d’entropies différents : Le tableau ci-dessous recense les 3 cas d’authentification par mot de passe identifiés par la Cnil dans sa nouvelle recommandation. Le contrôle d’accès devra reposer sur des règles plus robustes selon les risques auxquels le système est exposé. Mécanisme de restriction d'accès au compte : (exemples) Matériel détenu en propre par la personne (ex: carte SIM, carte bancaire, certificat) + Blocage au bout de 3 tentatives échouéesÉvolutions de la recommandation depuis 2017
Les principales recommandations de la CNIL
L’authentification par mot de passe : devinabilité ou entropie
Dès aujourd’hui, l’entropie
Demain, la devinabilité
Trois politiques de mots de passe au niveau équivalent
Exemple d'utilisation
Entropie min imum
Mesures complémentaires
Mot de passe seul
Forum, blog
80
Conseiller l'utilisateur sur un bon mot de passe
Avec restriction d'accès (le plus répandu)
Sites de e-commerce, compte d'entreprise, webmail
50
Avec matériel détenu par la personne
Carte bancaire ou téléphone
13
Testo del 2023-02-13 Fonte: GPDP
Documento Password French Cnil Guidelines Privacynews Privacydb Wallabag
Link: https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-