top of page

[RGPD] Que retenir de la nouvelle recommandation de la CNIL sur les mots de passe ?



La CNIL vient de dévoiler sa nouvelle recommandation sur les mots de passe.


Pour rappel et comme elle l’indique, « la CNIL ne « recommande » pas l’usage de mots de passe ». Au contraire, elle encourage la mise en œuvre d’une double authentification ou authentification forte lorsque cela est possible et pour plus de sécurité. Toutefois l’authentification par mot de passe restant très répandue, sa recommandation de 2017 devait être mise à jour.


Plusieurs changements à noter :


🔒On ne parle plus de complexité du mot de passe mais d’entropie (mesure de l’imprédictibilité d’un mot de passe). La recommandation de la CNIL est ainsi de 80 bits d’entropie sans mesure complémentaire. Pour tester votre entropie c'est ici : https://lnkd.in/e5MeifDT (point 12.)


💻La CNIL abandonne l’obligation de renouvellements réguliers des mots de passe pour les comptes utilisateurs standards (non pour les comptes d'administration). Les recherches sur le sujet ont en effet prouvé que ce changement régulier n’était pas efficace et abaissait au final le niveau de sécurité.


❌ La CNIL supprime le cas d’un mot de passe faible avec information secrète (cas d’usage n°3 de la recommandation de 2017).


S’il ne s’agit que d’une « recommandation », soit un guide pratique ayant pour objectif d’éclairer les acteurs, la CNIL indique que son service de contrôle se basera désormais dessus.



Comments


bottom of page