La politique minimale pour les mots de passe que vous devez appliquer.
Par Thierry Veyre, concepteur de Cblue
De nombreux services informatiques sont protégés par un mot de passe. La complexité d’un mot de passe détermine directement sa résistance contre une attaque. Voici les dernières préconisations de la CNIL sur le sujet.
Au quotidien, nous utilisons beaucoup de mots de passe pour accéder à notre messagerie électronique, aux réseaux sociaux, à nos fichiers, pour régler nos factures… et ces mots de passe ne sont pas évident à retenir. Le réflexe d’utiliser le même mot de passe partout est à bannir car si un pirate parvient à le trouver alors il aura accès à tout votre univers électronique. Le choix d’un mot de passe est donc primordial, et ce mot de passe doit être complexe et respecter les règles suivantes :
- Il doit contenir plus de 10 caractères.
- Il doit contenir des lettres minuscules, des lettres majuscules, des chiffres et des symboles (arobase, dièse, étoile, …).
- Il ne doit pas contenir un mot d’un dictionnaire comme « maison », « cheval », …
En complément de ces règles élémentaires, la CNIL préconise l’application des points suivants.
| Service | Mot de passe | Longueur minimum |
Composition | Mesures complémentaires |
| Forum, blog | Mot de passe seul | 12 | Majuscules Minuscules Chiffres Caractères spéciaux |
Conseiller l’utilisateur sur un bon mot de passe. |
| Site e-commerce Site d’entreprise, Messagerie en ligne |
Avec restriction d’accès | 8 | Majuscules Minuscules Chiffres Caractères spéciaux |
Temporisation d’accès au compte après plusieurs après plusieurs échecs. Captcha. |
| Banque en ligne | Avec information complémentaire | 5 | Majuscules Minuscules Chiffres |
Couplé avec un identifiant dédié d’au moins 7 caractères ou collecte de données du terminal (adresse IP, adresse mac, …). |
| Carte bancaire ou téléphone | Matériel détenu par l’utilisateur | 4 | Chiffres | Matériel détenu en propre par l’utilisateur (carte SIM, carte bancaire, certificat). Blocage au bout de 3 tentatives échouées. |
Si un des services que vous utilisez ne respecte pas les règles de ce tableau, vous devez cesser son utilisation et prendre contact avec le support pour obtenir une assurance sur le niveau de sécurité déployé.
Pour terminer cet article, nous vous rappelons quelques astuces simples qui faciliteront la fabrication de vos mots de passe complexes :
- Utiliser une phrase de départ.
- Remplacer un a par une @.
- Remplacer un i par un 1.
- Remplacer un o par un 0.
- …
Exemple :
J’aime faire du bateau -> J’@meF@ireDuBat0