Internet - web 2.0 - Cloud

La CNIL propose un outil pour vous aider à choisir un mot de passe fort et simple à retenir. Il existe de nombreux outils sur internet pour générer des bons mots de passe ou des extensions pour navigateurs. Cet outil a la particularité de faire écrire à l'utilisateur une phrase ponctuée (caractères spéciaux), avec au moins un chiffre et une douzaine de mots.

Il est impératif, pour éviter tout piratage, de na pas utiliser de mots de passe faciles comme par exemple : 123456, Password, qwerty, admin, football etc. Comme l'explique l'ANSSI, la robustesse d’un mot de passe dépend de plusieurs facteurs. Les préconisations que l’on peut retrouver dans les guides de bonne pratique en matière de robustesse de mots de passe sont parfois contradictoires en sécurité informatique.

Certaines recommandations préconisent le choix de mots de passe de 12 caractères alphanumériques, d’autres de 16 lettres, etc. En réalité, il n’existe pas de règle universelle.

La robustesse d’un mot de passe dépend en pratique :

• de la force intrinsèque du mot de passe, c’est à dire sa complexité intrinsèque ;
• du mécanisme mis en oeuvre pour vérifier le mot de passe et de ses caractéristiques techniques (temps de vérification, mécanisme cryptographique sous-jacent notamment) ;
• du modèle d’attaquant considéré. La résistance contre tous les types d’attaquants imaginables est intrinsèquement plus difficile à atteindre que la simple résistance aux attaques opportunistes par lesquelles l’attaquant va essayer les mots de passe les plus triviaux les uns après les autres sans connaissance a priori du système cible ;
• éventuellement, en fonction des mécanismes techniques mis en oeuvre et du modèle d’attaquant, du nombre d’authentification ratées autorisées avant blocage d’un compte protégé par le mot de passe ;
• des mécanismes d’alerte éventuels. Certains systèmes permettent à l’utilisateur de prendre connaissance de manière sûre du nombre d’échecs d’authentification infructueux.
• D’autres léveront une alerte à destination d’un administrateur ou bloqueront le compte de l’utilisateur concerné.

Les recommandations minimales à respecter ! 

A minima, l’ANSSI estime que les 8 recommandations suivantes doivent s’appliquer indépendamment de tout contexte. Lorsque les systèmes d’information utilisés le permettent, certaines doivent être imposées techniquement.

• R1 : Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts.
  En particulier, l’utilisation d’un même mot de passe pour sa messagerie professionnelle et pour sa messagerie personnelle est à proscrire impérativement.
• R2 : Choisissez un mot de passe qui n’est pas lié à votre identité (mot de passe composé d’un nom de société, d’une date de naissance, etc.).
• R3 : Ne demandez jamais à un tiers de créer pour vous un mot de passe.
• R4 : Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent.
• R5 : Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles.
• R6 : Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur internet), encore moins sur un papier facilement
  accessible.
• R7 : Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle.
• R8 : Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se "souviennent" pas des mots de passe choisis. 

L'outil de la CNIL : 

Etape 1 :

Pour un mot de passe de douze caractères ou plus, votre phrase doit contenir au moins :

•  Un nombre
•  Une majuscule
•  Un signe de ponctuation ou un caractère spécial (dollar, dièse, ...)
•  Une douzaine de mots