Depuis juillet 2022, la CNIL préconise une approche par degré de complexité du mot de passe (appelé « entropie »), et non plus seulement par longueur minimale.
Dans le contexte de cette nouvelle année qui débute, les bonnes résolutions 2023 sont à l’ordre du jour et nous vous proposons de commencer par une politique de mot passe hautement sécurisée, conforme aux recommandations de la CNIL.
Un degré de complexité minimal est donc exigé par la CNIL qui distingue 3 cas :
- L’authentification par mot de passe seul (sans mesure de sécurité complémentaire) : 80 bits d’entropie minimum.
- L’authentification par mot de passe, avec des mesures limitant les risques d’attaque (par ex, un nombre maximum de tentatives autorisées) : 50 bits d’entropie minimum.
- L’authentification par mot de passe, sur un matériel détenu en propre par la personne (cas du code de déverrouillage d’un matériel, comme par exemple, la carte Sim d’un téléphone avec un blocage au bout de 3 tentatives échouées) : 13 bits d’entropie minimum.
Pour l’authentification par mot de passe seul (cas n°1), la CNIL donne 3 exemples qui atteignent les 80 bits d’entropie minimum requis :
- Les mots de passe doivent être composés d’au moins 12 caractères comprenant des majuscules, des minuscules, des chiffres et des caractères spéciaux ;
- Les mots de passe doivent être composés d’au moins 14 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire ;
- Une phrase de passe doit être utilisée et elle doit être composée d’au minimum 7 mots.
Nous vous laissons maintenant le soin de vérifier si vos mots de passe actuels atteignent bien le degré d’entropie exigé :
- Vous pouvez tester votre mot de passe ici : Vérifier sa politique de mots de passe | CNIL
- Vous pouvez créer un mot de passe solide grâce au générateur de la CNIL accessible ici : Générer un mot de passe solide | CNIL
Pour toute question en lien avec votre démarche de conformité, n’hésitez pas à me contacter !
Charlotte GALICHET