La CNIL liste notamment : la simplicité du mot de passe ; l’écoute sur le réseau afin de collecter les mots de passe transmis ; la conservation en clair du mot de passe ; et la faiblesse des modalités de renouvellement du mot de passe en cas d’oubli (cas des questions « secrètes »).

L’authentification par mot de passe : longueur, complexité, mesures complémentaires

La CNIL recommande le choix d’un mot de passe complexe d’au moins 12 caractères (composé de majuscules de minuscules, de chiffres et de caractères spéciaux).

Des mesures complémentaires (restrictions, d’accès, collecte d’autres donnée, support détenu en propre par l’utilisateur) permettent de réduire la longueur et la complexité du mot de passe.

4 cas d’authentification par mot de passe sont identifiés par la CNIL dans ses recommandations.

Quelles que soient les mesures mises en place, la fonction d’authentification doit être sûre : elle utilise un algorithme public réputé fort ; et sa mise en œuvre logicielle est exempte de vulnérabilité connue.

Le mot de passe ne doit jamais être stocké en clair. Il doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé. (qui ne doit pas être stocké dans le même espace).

S’il nécessite l’intervention d’un administrateur, un mot de passe temporaire est attribué à la personne concernée qui devra le changer lors de sa première connexion.

S’il intervient de manière automatique : l’utilisateur doit être redirigé vers une interface dont la validité ne doit pas excéder 24 heures.

Si le renouvellement fait intervenir un ou plusieurs éléments supplémentaires (numéro de téléphone, adresse postale…) : ces éléments ne doivent pas être conservés dans le même espace de stockage et être conservés sous forme chiffrée à l’aide d’un algorithme public réputé fort; la personne doit être immédiatement informée de leur changement.