Phrases de passe : l'ANSSI passe en mode 2.0

Je vous demande de vous arrêter (de changer de mots de passe)
00
Logiciel 23 min
Phrases de passe : l'ANSSI passe en mode 2.0
Jean-Marc Manach
Par Le vendredi 15 octobre 2021 à 06:00
Signaler une erreur

Les 42 nouvelles recommandations de l'ANSSI en matière de mots de passe font évoluer en profondeur celles de 2012 qui ne ciblaient que les seuls utilisateurs. Elles recommandent notamment de ne plus forcer à un renouvellement régulier, ce qui était attendu. Tour d'horizon.

L'ANSSI vient (enfin) de mettre à jour ses recommandations de sécurité relatives aux mots de passe. La précédente édition (1.0) datait en effet de 2012, faisait 10 pages et comportait 8 « recommandations minimales ». Qualifiée de « caduque », elle a « été dépubliée » (mais on la retrouve sur archive.org) à l'occasion de sa mise à jour.

Cette version 2.0 de 52 pages a fait l'objet d'une « réécriture complète », totalise 42 conseils (avec 3 alternatives en plus) et a été réintitulée « recommandations relatives à l'authentification multifacteur et aux mots de passe », pour prendre en considération l'évolution des problématiques en question :

« L'objectif de ce guide est de proposer des recommandations de sécurité relatives à l'authentification en général (recommandations sur le cycle de vie d'un moyen d'authentification quel qu'il soit) et relatives à l'authentification par mots de passe en particulier. »

Dans la version 1.0, l’Agence proposait de les « appliquer indépendamment de tout contexte » et ciblant les seuls utilisateurs. La 2.0 ne leur propose que 7 recommandations (sur 42) et s'adresse surtout aux développeurs, administrateurs, DSI et RSSI, « dans le cadre de la définition des objectifs de sécurité en matière d’authentification ».

Un avant-propos de la CNIL précise que le gendarme des données personnelles y a lui aussi contribué, de sorte de « garantir la sécurité des traitements de données personnelles, en application des articles 5 et 32 du RGPD », qu'il convient d'être « particulièrement vigilant sur la biométrie », et qu'elle rendra publique une mise à jour de sa propre recommandation sur l'usage des mots de passe en 2022.

Placé sous le régime de la Licence Ouverte v2.0 publiée par la mission Etalab, le guide « peut être réutilisé librement, sous réserve de mentionner sa paternité (source et date de la dernière mise à jour) », reproduit, adapté, modifié, transformé, « y compris à des fins commerciales ».

Mots de passe VS coffre-forts

Selon l'ANSSI, « les principales recommandations qui sont mises en avant dans ce guide sont » :

  • Mener une analyse de risque lors de la mise en place de moyens d’authentification
  • Privilégier l’utilisation de l’authentification multifacteur
  • Privilégier l’utilisation de l’authentification reposant sur un facteur de possession
  • Adapter la robustesse d’un mot de passe à son contexte d’utilisation
  • Utiliser un coffre-fort de mots de passe

Le document débute par un rappel des principales menaces et attaques sur l'authentification, en ligne et hors-ligne, par force brute, rejeu, l'homme-du-milieu, hameçonnage, ingénierie sociale, usurpation d'identité, recherche exhaustive, « password spraying » (à partir d'une liste de mots de passe très utilisés sur un grand nombre d’identifiants possibles), dictionnaire ou tables précalculées comme avec les rainbow tables, etc.

Il dresse ensuite un « aperçu des limites de l'authentification par mots de passe », à commencer par l'erreur consistant à choisir et mémoriser des mots de passe faciles à retenir, donc facilement exploitables par des attaquants, ainsi que l’utilisation d’un même mot de passe sur plusieurs services.

Le guide loue l'utilisation d'un coffre-fort logiciel (gestionnaire), en ce qu'il permet de stocker voire de générer de multiples mots de passe robustes sans que l’utilisateur ait besoin de les mémoriser. Il n'en rappelle pas moins que « ce type d’outil ne permet pas d’empêcher les attaques d’ingénierie sociale comme l’hameçonnage » :

« Ce genre d’attaque permet de récupérer en particulier les mots de passe en usant de moyens détournés : convaincre une personne par téléphone ou courriel d’envoyer son mot de passe, inciter une personne à cliquer sur un lien frauduleux falsifiant une vraie page d’authentification, etc. Également, ces outils restent assez sensibles à la compromission par des logiciels malveillants (comme des enregistreurs de frappe ou keylogger en anglais) des équipements sur lesquels ils sont installés. »

Authentification multifacteur VS double authentification

La première recommandation de l'ANSSI est donc d'opter pour l'« authentification multifacteur », de sorte d'augmenter la sécurité des authentifications par mots de passe : « Ainsi, lors d’une authentification à l’aide d’un mot de passe et d’un autre facteur, même si le mot de passe est compromis, un attaquant doit encore récupérer le ou les autres facteurs afin d’usurper l’identité du prouveur [utilisateur, ndlr] lors de la phase d’authentification ».

Le guide insiste sur le fait que « chacun des facteurs d’authentification mis en œuvre doit appartenir à une catégorie de facteur différente parmi les facteurs de connaissance (« ce que je sais » : code, mot de passe, etc.), de possession (« ce que je possède » : carte à puce, token, téléphone, etc.) et inhérent (« ce que je suis » : ADN, empreinte digitale, rétinienne, voix, frappe au clavier) » :

« L’appartenance à une catégorie différente pour chacun des facteurs utilisés est un point important de cette définition. Une authentification qui nécessiterait un code PIN et un mot de passe ne peut pas être considérée comme multifacteur : les deux facteurs utilisés appartiennent à la même catégorie (facteur de connaissance) et sont donc sujets aux mêmes menaces. »

L'ANSSI distingue ainsi la « double authentification », qui repose sur l’utilisation de plusieurs facteurs appartenant à la même catégorie, de l'« authentification multifacteur ». Elle reconnait cela dit que, « selon le contexte de la mise en œuvre », la double authentification peut tout de même permettre d’améliorer la sécurité apportée par l’authentification via un unique facteur.

Le guide précise ensuite les emplois de ces différents types de facteurs. Les codes PIN et mots de passe ne doivent ainsi être connus que de leurs seuls propriétaires. De son côté, le vérifieur ne doit connaître qu'une version « non réversible » de ce facteur, comme l’empreinte d’un mot de passe calculée au moyen d’une fonction de hachage cryptographique, dédiée au stockage des mots de passe.

Afin de garantir la sécurité des facteurs « de possession » (cartes à puce ou cartes SIM, dispositifs One Time Password – OTP), l'ANSSI estime « essentiel que des moyens de protection et de détection contre les tentatives de reproduction ou de falsification du facteur soient mis en place ».

Enfin, les facteurs inhérents permettant d’identifier une personne de façon unique au moyen d’attributs physiques (empreintes, iris, visages, etc.) doivent être différents d’une personne physique à l’autre, « y compris lorsque des personnes physiques présentent des caractéristiques similaires (par exemple des jumeaux ou jumelles) ».

Authentification forte VS authentification multifacteur

L'ANSSI relève en outre qu'« en langue française, l’authentification multifacteur est souvent confondue avec l’appellation authentification forte (ou robuste), ce qui laisserait entendre qu’une authentification multifacteur est nécessairement plus robuste qu’une authentification avec un unique facteur ».

Ces facteurs, pris indépendamment ou ensemble, ne sont pas forcément considérés comme forts. Par exemple, un mot de passe associé à un code temporaire reçu par SMS, pourrait être intercepté ou faire l'objet d'une usurpation de type « SIM swapping ». L'ANSSI estime même qu'« une méthode d’authentification reposant sur la réception d’une valeur (comme un code à usage unique) au moyen d’un canal peu ou pas sécurisé (comme le SMS) est à proscrire », ce qui fait l'objet de sa 8e recommandation.

ANSSI SMS

Cela l'incite à « différencier une authentification multifacteur "faible" d’une authentification multifacteur forte lorsque cette dernière fait intervenir au moins un facteur d’authentification considéré comme fort ».

Afin d’être considérée comme forte, une authentification doit dès lors reposer sur un protocole cryptographique de type défi-réponse permettant de résister aux attaques mentionnées. Citons l'authentification par certificats (stockés dans des cartes à puce par exemple), les protocoles FIDO2 et FIDO U2F, OTP comme HOTP (HMAC-based OTP), TOTP (Time-based OTP) ou OCRA (OATH Challenge-Response Algorithm).

La deuxième recommandation est dès lors de « privilégier l’utilisation de moyens d’authentification forts reposant sur des mécanismes cryptographiques conformes au référentiel général de sécurité (RGS) et à ses annexes » (R2).

Conduire une analyse de risque

L’ANSSI précise ensuite que « l'authentification est un mécanisme fortement dépendant du contexte dans lequel il est mis en œuvre » :

« Ce contexte peut être varié et de nombreux paramètres entrent en jeu comme le niveau de sensibilisation des utilisateurs à la sécurité, le niveau de sensibilité des données ou des services à protéger, l’importance des menaces pesant sur les données à protéger, le niveau de compétence des différentes personnes impliquées dans la gestion du système d’information ou le niveau de complexité d’utilisation des différents moyens d’authentification mis en place, etc. »

Les recommandations doivent donc s'adapter aux cas d'usage et aux contextes d'utilisation, en tenant compte « des menaces potentielles, de la criticité du service ou des informations traitées par ce dernier et de son niveau d’exposition aux menaces ». Ce pourquoi la troisième recommandation est de « mener une analyse de risque pour déterminer les moyens d’authentification à mettre en œuvre en fonction du besoin de sécurité ».

Mais attention : « l'authentification multifacteur ne doit pas donner un faux sentiment de sécurité », car elle « n’empêchera nullement un attaquant d’utiliser un canal de connexion déjà ouvert vers ce service si jamais, par exemple, le poste est compromis ».

ANSSI analyse de risque

Changer régulièrement les mots de passe est « contre-productif »

Elle relève également que « mettre en place des moyens d’authentification trop contraignants par rapport à l’information ou au service à protéger pourrait se révéler contre-productif puisque les utilisateurs chercheraient à contourner les moyens mis en place » :

« Par exemple, un renouvellement de mots de passe trop fréquent pourrait inciter les utilisateurs à noter les mots de passe sur une feuille, qui ne sera pas nécessairement conservée en lieu sûr. »

Une position qui tranche avec la précédente version du guide de l'ANSSI, qui recommandait : « renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles ». Le guide précise que « le choix d’imposer ou non un délai d’expiration fixe est un sujet qui a évolué ces dernières années ». Qualifié de « bonne mesure en général », cela s'avère « souvent contre-productif dans le cas des mots de passe » :

« En effet, en imposant un délai d’expiration trop réduit sur les mots de passe, les utilisateurs ont tendance à créer des itérations sur leurs mots de passe (par exemple rajouter "+1" sur un nombre contenu dans le mot de passe comme Toto1, Toto2, etc.) ou à créer des liens logiques triviaux entre les différents mots de passe. »

De plus, de nombreux moyens permettent de s’assurer que les utilisateurs choisissent des mots de passe robustes (contrôle de leur robustesse à la création, utilisation de coffre-fort de mots de passe, etc.) qui, « lorsqu’ils sont mis en œuvre, ne justifient plus le besoin d’imposer un délai d’expiration ».

L'ANSSI recommande dès lors de « ne pas imposer par défaut de délai d'expiration sur les mots de passe des comptes non sensibles comme les comptes utilisateur » (R24), et de ne l'imposer que sur les mots de passe des « comptes très sensibles comme les comptes administrateurs » ne bénéficiant pas d'authentification à double facteur, « pour une durée comprise entre 1 et 3 ans » (R25). A contrario, le guide recommande de « révoquer immédiatement (de l’ordre de la journée) les mots de passe en cas de compromission suspectée ou avérée » (R26).

L'ANSSI recommande de « mettre à disposition des utilisateurs un coffre-fort de mots de passe », tel que Keepass, mais également qu'ils soient formés à son utilisation (R31). Il s'agit non seulement d'expliquer l'intérêt (et les modalités, à commencer par la gestion du mot de passe « maître ») d'un tel stockage sécurisé, mais également de la possibilité offerte de « générer des mots de passe longs et complexes (sans avoir besoin de les mémoriser ni même d’en prendre connaissance) ».

Ne changez qu'en cas de suspicion de compromission

Le NCSC, équivalent britannique de l'ANSSI, déconseille lui aussi, depuis 2015, de forcer les utilisateurs à changer fréquemment de mot de passe, au motif que « c'est l'un de ces scénarios de sécurité contre-intuitifs ; plus les utilisateurs sont obligés de changer de mot de passe, plus la vulnérabilité globale aux attaques est grande » :

« Le nouveau mot de passe peut avoir été utilisé ailleurs, et les attaquants peuvent également l'exploiter. Le nouveau mot de passe est également plus susceptible d'être écrit, ce qui représente une autre vulnérabilité. Les nouveaux mots de passe sont également plus susceptibles d'être oubliés, ce qui entraîne des coûts de productivité pour les utilisateurs bloqués sur leurs comptes et les centres de services devant réinitialiser les mots de passe. »

De plus, les utilisateurs, régulièrement obligés de changer leur mot de passe, en choisiront souvent un « plus faible » qu'ils n'oublieront pas, élargissant la surface d'attaque. Dans ses recommandations mises à jour, le NCSC écrit même que « le changement régulier de mot de passe nuit au lieu d'améliorer la sécurité », et que « forcer l'expiration du mot de passe ne présente aucun avantage réel car » :

  • l'utilisateur est susceptible de choisir de nouveaux mots de passe qui ne sont que des variations mineures de l'ancien ;
  • les mots de passe volés sont généralement exploités immédiatement ;
  • la réinitialisation du mot de passe ne permet pas de savoir si un compromis s'est produit ;
  • un attaquant ayant accès au compte recevra probablement également la demande de réinitialisation du mot de passe ;
  • s'il est compromis via un stockage non sécurisé, l'attaquant pourra trouver le nouveau mot de passe au même endroit.

Le NCSC recommande plutôt de verrouiller automatiquement les comptes inactifs, surveiller les connexions suspectes (heures de connexion inhabituelles, via de nouveaux appareils), d'encourager les utilisateurs à signaler quand quelque chose est suspect et, bien évidemment, l'authentification multifactorielle. Pour lui, les utilisateurs ne devraient modifier leurs mots de passe que « lorsque vous savez (ou soupçonnez) qu'il a été compromis ».

Minimiser les risques de compromission

La 9e recommandation porte à ce titre sur la conservation des historiques d'utilisation des facteurs d'authentification pour « faciliter la détection de comportements anormaux qui présagerait d’une compromission ».

Il convient en outre de limiter dans le temps le nombre de tentatives d'authentification (R10), de réaliser l'authentification au travers d'un canal sécurisé (R11), de limiter la durée de validité d'une session authentifiée (R12), mais également de ne pas donner d'information sur l'échec de l'authentification (R14) pour ne pas fournir d’information supplémentaire à un attaquant.

Afin de limiter les dégâts en cas de compromission non détectée d’un facteur d’authentification, l'ANSSI recommande de mettre en place un délai d’expiration des facteurs d’authentification, permettant de limiter une éventuelle période d’utilisation frauduleuse (R15), de définir une politique d'utilisation des facteurs d'authentification – notamment en cas de perte ou de compromission (R16) – et de sensibiliser les utilisateurs à la sécurité de l'authentification, par exemple des campagnes de sensibilisation au hameçonnage (R17).

Elle recommande en outre un processus de révocation des facteurs d'authentification (R18) et de définir des délais de prise en compte des révocations adaptés aux menaces pesant sur le système d’information (R19).

Un nombre limité de mots de passe à mémoriser

Signe du virage à 180° de l'approche de l'ANSSI, ses recommandations relatives à la bonne utilisation des mots de passe n'arrivent qu'au chapitre 4, page 26. Elle y distingue trois catégories de codes PIN, mots ou phrases de passe :

  • ceux qui ne peuvent pas facilement être gérés par un coffre-fort logiciel, comme le mot de passe maître de ce dernier, le mot de passe d’une session Windows, etc. :

« Ces mots de passe doivent être mémorisés et suffisamment robustes au vu de leur criticité, mais ils sont peu nombreux à retenir. Cette catégorie de mot de passe étant la plus critique, il est pertinent qu’elle soit associée à un second facteur d’authentification. »

  • ceux pouvant ne pas être mémorisés comme les mots de passe générés et conservés par des coffres-forts logiciels ;
  • les codes PIN que l’on retrouve dans les cartes à puce dont les cartes SIM, et qui sont « accompagnés de mesures très restrictives sur le nombre d’échecs d’authentification autorisés ».

Cette catégorisation permet à l'ANSSI de « mettre en lumière le fait que parmi tous les mots de passe utilisés au quotidien, il n’y en a qu’un nombre limité qui doivent être mémorisés par un humain ».

L'entropie ? Le petit bout de la lorgnette

« La sécurité des mots de passe est souvent réduite à l’estimation de leur "force", c’est-à-dire l’estimation de leur entropie exprimée en bits », relève en outre l'ANSSI. Elle « peut être estimée en calculant l’ensemble des mots de passe possibles pour une longueur donnée et une complexité donnée ».

Or, cette approche serait biaisée, car « cette estimation ne vaut que si chaque caractère du mot de passe est choisi de manière uniformément aléatoire ». Ce qui n'est pas le cas lorsque l'utilisateur choisit lui-même ses mots de passe, souvent dérivés de termes du langage courant ou de mots de passe pré-existants dans des dictionnaires.

De plus, si « l'entropie est une métrique simple d’utilisation », elle « ne permet pas de capturer la sécurité apportée par les nombreuses autres mesures additionnelles qui doivent être définies dans une politique de sécurité des mots de passe comme la limite du nombre d’essais, la méthode de conservation des mots de passe, etc. ».

Mots de passe VS phrases de passe

La 20e recommandation va dès lors bien au-delà des sempiternels caractères en majuscules, minuscules, spéciaux et/ou accentués, préférant prendre en compte l'ensemble du spectre d'une « politique de sécurité des mots de passe ». L'ANSSI, renvoie à sa page permettant de calculer la force d’un mot de passe et rappele qu'« il est souvent plus efficace d’allonger un mot de passe que de chercher à le rendre plus complexe pour en augmenter l’entropie ».

ANSSI mots de passe

Elle recommande dès lors d'imposer une longueur minimale pour les mots de passe lors de leur création en fonction du niveau de sécurité visé par le système d’information (R21) : entre 9 et 11 pour les niveaux de sensibilité faible à moyen, entre 12 et 14 pour les niveaux moyen à fort, et au moins 15 pour les niveaux fort à très fort (où il est par ailleurs recommandé d’utiliser l’authentification multifacteur), voire plus encore :

« Ces exemples de longueurs minimales concernent surtout les mots de passe devant être mémorisés par un humain. Pour ceux ne devant pas être mémorisés, il est recommandé que la longueur minimale soit très grande (supérieure à 20 caractères par exemple). »

L'Agence tempère cela dit cette recommandation en précisant que « ces valeurs minimales de longueur peuvent être adaptées » pour les codes PIN « qui sont accompagnés de fortes mesures complémentaires (comme une désactivation d’accès définitive au compte au bout de trois échecs d’authentification) ».

Elle propose également d'adapter certaines mesures complémentaires (comme imposer des caractères spécifiques) en fonction de la taille du mot de passe choisi par l’utilisateur :

« Un utilisateur choisissant un mot de passe très long (comme une phrase de passe de 20 caractères et plus) ne se verrait pas imposer de contraintes sur les caractères à utiliser alors qu’un utilisateur choisissant un mot de passe court (une dizaine de caractères) se verrait imposer l’utilisation de chiffres et de caractères spéciaux. »

Elle recommande en tout état de cause de « ne pas fixer de limite à la longueur maximale d’un mot de passe afin de permettre aux utilisateurs d’avoir recours à des phrases de passe ou longs mots de passe » (R22).

Il lui paraît néanmoins raisonnable de « fixer une valeur limite (plusieurs centaines de caractères par exemple) afin de ne pas s’exposer à de potentielles attaques en déni de service (qui consisterait à soumettre des mots de passe de plusieurs Mo au vérifieur et pouvant prendre plusieurs minutes à traiter) ».

Les phrases de passe plus simples à mémoriser

L'ANSSI qualifie par ailleurs de « mauvaise pratique observée » le fait de fixer une longueur maximale faible  de 8 ou 10 caractères par exemple : « cette pratique empêche l’utilisation de phrases de passe [qui] consistent à choisir aléatoirement un certain nombre de mots parmi un corpus déterminé (comme le dictionnaire de la langue française). À entropie égale, les phrases de passe sont souvent bien plus longues que les mots de passe "classiques", mais sont aussi pour certains utilisateurs plus simples à mémoriser ».

XKCD phrases de passe

Crédits : xkcd, Traduction : Next INpact.com

Elle recommande de « mettre en œuvre des règles de complexité tout en proposant un jeu de caractères le plus large possible » (R23), en imposant par exemple que les mots de passe « contiennent au moins une majuscule, un chiffre et un caractère spécial », afin d'éviter que les utilisateurs ne choisissent « des mots de passe trop simples (des mots du dictionnaire français par exemple) » :

« Ce type de règles se trouve en pratique souvent détourné par les utilisateurs : transformation de a en @, de o en 0 (par exemple le mot de passe "password" va être remplacé par "Passw0rd", "P@ssw0rd", "PaSSword1", "p4ssw0rd" et des dizaines d’autres possibilités), rajout d’une majuscule en début de mot de passe, rajout d’un chiffre en fin de mot de passe, etc. »

Si ce type de contre-mesure « n’apporte en pratique qu’assez peu de sécurité contre des attaques hors ligne, où il est possible de créer des dictionnaires dédiés », l'ANSSI note cela dit qu'elle « permet d’augmenter significativement la protection contre des attaques en ligne ».

Le stockage des mots de passe en clair doit être proscrit

Le guide recommande également de « mettre en place un contrôle de la robustesse des mots de passe lors de leur création ou de leur renouvellement » (R27), en les comparant avec une base de données répertoriant les mots de passe les plus utilisés ou bien ceux qui ont été compromis, et d'interdire la réutilisation d’un mot de passe parmi les X derniers mots de passe déjà utilisés.

Il s'agirait aussi de repérer les mots de passe contenant des motifs (ou des répétitions de motifs) spécifiques (comme une suite de chiffre telle que « 12345 », la suite des premières lettres des claviers comme « azerty », etc), des informations personnelles comme les noms, prénoms ou dates de naissance

L'ANSSI relève cela dit que « les produits logiciels actuellement disponibles pour la mise en pratique de cette recommandation sont rares ». Le guide ajoute qu'il est important de fournir aux utilisateurs des ressources leur permettant de générer des mots de passe robustes comme des coffres-forts ou des outils d’assistance à leur génération et mémorisation (« comme l’outil de la CNIL »).

L'Agence attire également l'attention sur le fait qu'une analyse de la base de données contenant les mots de passe au moyen d’outils de « cassage » comme John The Ripper – pour vérifier leur robustesse a posteriori – est « délicate à mettre en œuvre de manière sécurisée car elle présente de nombreux risques » :

« la base de mots de passe doit être extraite d’une zone protégée et journalisée vers une autre zone potentiellement moins bien protégée, les personnes responsables de ce traitement pourraient être malveillantes et tirer profit des informations extraites, etc. »

Seules les empreintes, « aussi appelées hachés, résultats d’une fonction de hachage cryptographique (comme les familles SHA2 ou SHA3) appliquée aux mots de passe », doivent être stockées.

Pour que ce stockage soit effectuée « de manière sécurisée », l'ANSSI recommande d'y ajouter « une valeur aléatoire unique (communément appelée un sel) lors du calcul de l’empreinte du mot de passe », afin de se prémunir contre des attaquants utilisant des tables pré-calculées (R28).

Pour « ralentir les attaquants », elle recommande en outre d’« utiliser des fonctions de dérivation de mots de passe memory-hard comme scrypt ou Argon2 », voire PBKDF2 lorsqu'il est « difficile de faire usage de fonctions memory-hard » (R29). Les méthodes de recouvrement d'accès (en cas d'oubli ou d'expiration) sont si diverses (réception d’un mot de passe temporaire autogénéré, d’un lien temporaire à usage unique de réinitialisation, par courriel, SMS, envoi postal, téléphone, etc.) que « cela rend très difficile la recommandation d’une méthode en particulier ».

Éviter de transmettre les mots de passe en clair

Il faut attendre la page 35 du guide pour en venir aux sept « recommandations à destination des utilisateurs » :

  • utiliser des mots de passe (ou phrases de passe) robustes, c’est-à-dire suffisamment longs et complexes pour résister aux attaques par recherche exhaustive et n’étant pas un mot du dictionnaire (ou une citation ou phrase connue) pour résister aux attaques par dictionnaire (R32) ;
  • utiliser un mot de passe différent pour chaque service afin de limiter les conséquences en cas de compromission d’un mot de passe (R33) ;
  • utiliser un coffre-fort de mots de passe permettant facilement de générer des mots de passe robustes et différents pour chaque service (R34) ;
  • adopter les bons réflexes de protection des mots de passe : « par exemple, il est impératif de ne pas écrire ses mots de passe sur une note sous le clavier, de ne pas créer un fichier "mot de passe" sur le poste utilisateur, de ne pas s’envoyer ses mots de passe par courriel, etc. » (R35) ;
  • utiliser un mot de passe robuste pour accéder à sa messagerie électronique, et privilégier l’utilisation d’une méthode d’authentification multifacteur lorsque cela est disponible (R36) ;
  • choisir un mot de passe sans information personnelle comme les noms et prénoms ou encore la date de naissance (R37) ;
  • modifier les mots de passe par défaut (R38).

En comparaison des huit précédentes recommandations de 2012, l'ANSSI ne déconseille plus de demander à un tiers de générer pour vous un mot de passe, de s'envoyer ses propres mots de passe sur sa messagerie personnelle ou d'activer la fonction « se souvenir de ses mots de passe » d'un navigateur. Mais elle privilégie le recours à des coffre-forts logiciels qui, contrairement aux navigateurs, sont protégés par un mot de passe maître.

Ses recommandations finales portent sur les avantages et inconvénients des facteurs de possession (qui doivent avoir reçu un visa de sécurité de l’ANSSI, ou utiliser un protocole d’authentification conforme au RGS), et inhérents. Elle déconseille à ce titre la biométrie « lorsqu’il s’agit d’une authentification avec un unique facteur ».

Signaler une erreur
Ce contenu est désormais en accès libre

Il a été produit grâce au soutien de nos abonnés, l'abonnement finance le travail de notre équipe de journalistes

Déjà membre ? Connexion
nxi premiumDécouvrez l'offre Premium
Abonnement Professionnel
OFFRE DÉCOUVERTE
0,99 €Pour 48h d'abonnement
SANS ENGAGEMENTDésabonnement possible à tout moment
8 €Paiement mensuel
1 ANBénéficiez de 2 mois offerts
80 €soit 6,67 € par mois
2 ANSBénéficiez de 6 mois offerts
144 €soit 6,00 € par mois

2000 - 2023 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact

abonnez-vousS'abonner

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ABONNÉS

7276

Abonnez-vous
à partir de 6,00 € / mois
Faire un don défiscalisable
Nos catégories
Composants Culture Numérique Droit Économie IH Internet Logiciel Mobilité Périphériques Réseau Systèmes Tech #LeBrief Next INpact
Nos rubriques
Dossiers Guides Tests Tutoriels Accès Libre Flock
Nous suivre
Flux RSS Newsletter Facebook LinkedIn Twitter Youtube
Nos services
Bons plans Boutique de Goodies
Nos partenaires
Tous Les Forfaits
La communauté et le site
Contact Dons défiscalisables Discord Forums Déontologie Vie privée GitHub Votre compte Règles de modération Vos commentaires