Typologies de mot de passe
- Mot de passe seul:
Si l’authentification repose uniquement sur un identifiant et un mot de passe, la taille de mot de passe doit être au minimum 12 caractère comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux.
- Mot de passe et restriction d’accès au compte:
Si l’authentification prévoit une restriction de l’accès au compte (temporisation ou blocage d’accès après plusieurs échecs), la taille de mot de passe doit être au minimum 8 caractères comportant au moins 3 de 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux)
- Mot de passe et information complémentaire:
Si l’authentification prévoit une information complémentaire, la taille du mot de passe doit être au minimum 5 caractères.
- Mot de passe et matériel détenu par la personne:
Si l’authentification s’appuie sur un matériel détenu par la personne (cartes SIM, cartes à puce et dispositifs contenant un certificat électronique déverouillable par mot de passe (token)), la taille du mot de passe doit être au minimum 4.
Quelles sont les modalités de l’authentification?
Selon la CNIL, la fonction de l’authentification doit être sûre. Lorsque l’authentification n’a pas lieu en local, une mesure de contrôle de l’identité du serveur d’authentification doit être mise en place au moyen d’un certificat d’authentification de de serveur. De plus, il est recommandé que le canal de communication entre le serveur d’authentifié et le client soit chiffré à l’aide d’une fonction de chiffrement sûre. De plus, la sécurité des clés privés doit être assurée.
Quelles sont les modalités de conservation des mots de passe?
La CNIL recommande que le mot de passe ne doit jamais être stocké en claire. Elle recommande qu’il soit transformé au moyen d’une fonction cryptographique non réversible et sûre.
Quelles sont les modalités de renouvellement du mot de passe et de la notification à la personne?
Selon la CNIL, le renouvellement du mot de passe doit être systématique en cas de compromission de celui-ci. Dans tous les cas, le mot de passe ne doit jamais être communiqué à l’utilisateur en claire notamment par l’e-mail. Le renouvellement peut être périodique en fonction de la complexité du mot de passe. Le renouvellement peut être également sur demande du mot de passe.