A l’échelle mondiale, 81 % des violations de données seraient liées à une problématique de mots de passe. En France, la Cnil explique que 60 % des notifications reçues concernent le piratage de ces derniers et qu’un grand nombre aurait pu être évité avec l’application de bonnes pratiques.
Face à ce constat, la Commission fait évoluer sa recommandation formulée en 2017 et rappelle les quatre facteurs de risque liés aux mots de passe : la simplicité, l’authentification (mécanisme d’authentification faible, absence de chiffrement lors de la transmission…), la conservation en clair et la faiblesse des modalités de renouvellement en cas d’oubli.
Lire aussi : Vers la fin des mots de passe ?
Ces menaces peuvent avoir plusieurs conséquences, à l’image d’attaques du moyen de mémorisation, l'hameçonnage, ou encore, une compromission du serveur et une interception du mot de passe lors de la transmission.
Viser l'entropie des mots de passe
Ainsi, pour renforcer le niveau de sécurité, la Cnil recommande de viser un degré de complexité du mot de passe, appelé entropie, plutôt que sa longueur. « L’entropie peut être définie dans ce contexte comme la quantité de hasard », précise la Cnil. « Pour un mot de passe ou une clé cryptographique, cela correspond à son degré d’imprédictibilité théorique, et donc à sa capacité de résistance à une attaque par force brute. »
Trois exemples équivalents sont à retenir pour la création de mot de passe :
- il doit être composé d’au minimum 12 caractères avec des majuscules, des minuscules, des chiffres et des caractères spéciaux,
- il doit être composé d’au minimum 14 caractères avec des majuscules, des minuscules, sans caractères spéciaux obligatoires,
- une phrase doit être utilisée et composée d’un minimum 7 mots.
Exit donc, les traditionnels 123456, 123456789 et azerty qui restaient en 2021, les mots de passe les plus utilisés en France.
Lire aussi : Les 3 meilleurs gestionnaires de mots de passe gratuits pour sécuriser vos données
Par rapport à sa recommandation de 2017, la Cnil estime qu’il faut retirer le cas d’usage reposant sur une information secrète en contrepartie d’une baisse des exigences de sécurité au niveau du mot de passe. Elle conseille l’abandon de l’obligation de leur renouvellement pour les comptes “utilisateurs classiques” et réserver l’action aux administrateurs ou aux comptes disposant de droits étendus.
Il faut également éviter l’établissement d’une liste d’exemples complexes mais connus de tous « compte tenu des nouveaux schémas d’attaque ». Enfin, la nouvelle recommandation de la Commission propose plusieurs “bonnes pratiques” afin d’assurer aux mots de passe un niveau constant de sécurité tout au long de leur cycle de vie.