Le gendarme des données personnelles juge datée sa recommandation de 2017 relative aux mots de passe. Une nouvelle version est sur les rails et ouverte à consultation publique jusqu’au 3 décembre.
La Cnil a, en 2017, émis une recommandation quant aux mots de passe et à son « état de l’art ». Une recommandation qui a quelque peu pris un coup de vieux. « Au cours des quatre dernières années, les précédentes recommandations de la CNIL ont été a de multiples reprises confrontées à des situations d'usage concrètes et éprouvées par un grand nombre de professionnels » reconnaît le gendarme des données personnelles.
Il est donc temps d’émettre une nouvelle recommandation, sur laquelle la Cnil a lancé hier une consultation publique, ouverte jusqu’au 3 décembre. Cette recommandation veut offrir aux professionnels et aux particuliers un ensemble de mesures minimales en matière d’authentification par mot de passe, aussi bien du point de vue des politiques de sécurité que de la mise en œuvre opérationnelle.
Pas une question de longueur
Le nouveau projet de recommandation reprend en partie celle de 2017, tout en lui ajoutant un certain nombre de nouveaux éléments. Parmi eux, la définition d'une règle fondée sur le degré d'imprédictibilité d'un mot de passe et non sur la longueur minimale de mot de passe ou encore l'abandon de l'obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques.
Est également incluse une liste de mots de passe « complexes mais connus et donc à éviter compte tenu des nouveaux schémas d'attaque ». Le texte est disponible ici et la consultation là. La recommandation définitive sera quant à elle émise début 2022.