Nous contacter.
07 81 41 17 25
Face à la hausse des attaques informatiques, la gestion des mots de passe est devenue une préoccupation majeure dans la politique de sécurisation des données des entreprises. S’il n’existe pas de définition universelle d’un bon mot de passe, il existe cependant des recommandations quant à la création de mot de passe sécurisé et résilient.
Depuis les nouvelles recommandations de la CNIL, on ne parle plus de longueur minimale uniquement, mais d’entropie d’un mot de passe. C’est-à-dire que la robustesse d’un mot de passe repose sur des critères de longueur ET de complexité.
Un mot de passe doit être composé de 12 caractères au minimum. Dans ce cadre, il doit comprendre, des majuscules, des minuscules, des chiffres et des caractères spéciaux (choisis dans une liste de 37 caractères spéciaux possibles).
Vous pouvez également choisir des phrases de passe dès lors que celles-ci contiennent 7 mots minimum.
Ces exemples répondent tous aux nouvelles recommandations qui évolueront régulièrement.
Un compte = un mot de passe. L’une des erreurs courantes est d’utiliser le même mot de passe pour différents comptes. Le risque de cette pratique est le piratage en cascade.
L’usage unique de mot de passe n’est pas recommandé par la CNIL. Au contraire, elle préconise la mise en place de méthode d’identification forte, comme l’identification à deux facteurs, dès que c’est possible. Dès lors qu’une connexion inconnue est repérée, une demande de validation sera transmise par email ou sms.
Depuis 2021 l’ANSSI a adopté une nouvelle position concernant le renouvellement périodique des mots de passe dans son guide « Recommandations relatives à l’authentification multi facteurs et aux mots de passe ». Une position cosignée par la CNIL.
Des études ont en effet démontré que forcer un utilisateur à changer son mot de passe trop fréquemment l’entraîne à abaisser le niveau de sécurité de ce dernier.
Le mot de passe ne doit rien dire sur vous. Personne ne doit être en capacité de deviner votre mot de passe à partir de votre pseudonyme, du nom de votre chat, du prénom de vos enfants, ou de votre date de naissance par exemples.
Éviter également les mots de passe trop courts ou alors beaucoup trop simples à déchiffrer.
Par exemple, les mots de passe séquentiels du type “abcdef” ou ‘1234567” sont à proscrire, tout comme les mots de passe trop évidents du type “Pasword1”.
Conserver les mots de passe en clair est une pratique à bannir. Les post-it, les fichiers texte, le Cloud ou encore les boites mail ne sont pas les gardiens les plus fiables pour stocker vos mots de passe.
Contrairement à une pensée très répandue, un mot de passe sécurisé peut être facile à mémoriser, mais pourtant difficile à déchiffrer pour quelqu’un d’autre. Voici quelques moyens mnémotechniques à utiliser :
Créer une phrase de passe ayant un sens pour vous depuis :
Vous pouvez également créer des mots de passe forts et simples à retenir sur le même principe que la phrase de passe, mais en ne mémorisant que les premières lettres de chaque mot, la ponctuation et les nombres.
La CNIL propose un outil qui permet de faire cette conversion : Générateur de mot de passe solide.
Par exemple :
“La cigale, ayant chanté tout l’été, se trouva fort dépourvue quand la bise fut venue.8”
Cela donne le mot de passe suivant : Lc,actl’é,stfdqlbfv.8
Si malgré ces conseils vous avez des difficultés à mémoriser vos mots de passe, ou si leur nombre est véritablement important, nous vous conseillons d’utiliser un gestionnaire de mot de passe sécurisé. Il permet de constituer une base de données chiffrée par un mot de passe unique, lui-même sécurisé. Il vous suffira de retenir ce seul mot de passe pour accéder aux autres.
Besoin de former vos équipes à la cybersécurité ?
Contacter AP3R Consulting, cabinet de conseil en RGPD et cybersécurité.