Usité par le particulier mais aussi par les entreprises, le mot de passe protège l’accès à nos données et fichiers. Mais, il perd tout son intérêt lorsqu’il est facile à craquer. Le bon mot de passe est donc synonyme de sécurité pour les internautes.
Le mauvais mot de passe existe. Un exemple récurrent est le fameux: 123456 qui obtient la 1ère place dans le top 25 des mots de passe les plus utilisés pour l’année 2016 selon Keeper Security.
La CNIL adopte une recommandation relative aux mots de passe le 19 janvier 2017. Publié au journal officiel le 27 janvier 2017, ce texte regroupe un ensemble de dispositions proposées aux professionnels traitant des données personnelles et éditant des mots de passe pour protéger ces données. Les gestionnaires de mots de passe ont donc un référentiel plus protecteur pour les internautes, en vertu des articles 34 et 35 de la Loi Informatique et Libertés de Janvier 1978.
Les modalités de la recommandation suivent 4 points essentiels à savoir la création du mot de passe, son authentification, sa conservation, son renouvellement, y compris la notification de son éventuelle violation à l’intéressé.
Par exemple, la commission indique que le gestionnaire de mot de passe doit imposer à l’utilisateur une taille minimale ainsi qu’un degré de complexification pour générer le mot de passe. Ainsi, le nombre de caractères exigés et leur complexité ( exigence de majuscules, chiffres, etc) va de paire avec la prise de mesures compensatrices c’est à dire une restriction d’accès au compte, une information complémentaire ou un matériel détenu par l’utilisateur.
La restriction d’accès au compte peut être un mécanisme de blocage du compte après un nombre d’authentifications échouées consécutives au plus égal à 10. La CNIL donne des exemples assez détaillés des méthodes pouvant être utilisées laissant par ailleurs aux gestionnaires de mots de passe la possibilité d’être plus inventifs, le tout étant d’assurer l’obligation de sécurité qui leur incombe.
Pour l’authentification et la conservation, tout en laissant le choix libre au gestionnaire, la commission préconise l’utilisation de méthodes privilégiant encore une fois la sécurité c’est à dire concrètement « un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue ».

Source: CNIL

Entre autres, la commission prohibe fortement le stockage et la communication, à l’utilisateur, d’un mot de passe en clair.
Pour finir, la CNIL recommande la notification de la violation du mot de passe ou tout autre élément y étant lié dans un délai maximum de 72h après la constatation de la violation et imposer la modification du mot de passe. Ce délai rappelle celui du RGPD. Avec toutes ces recommandations, il ne reste plus aux gestionnaires de mots de passe qu’à prendre les mesures nécessaires sur cette base.
Conseils de la CNIL pour un bon mot de passe

A propos de Cyndi Essivi GBOFU