Questions-réponses sur la nouvelle recommandation relative aux mots de passe et autres secrets partagés
14 octobre 2022
Qui est concerné ? Quelles sont les mesures de sécurité recommandées et quels sont les points de vigilance ? La CNIL répond aux questions les plus courantes sur sa recommandation et les mots de passe pour accompagner au mieux les professionnels dans leur mise en conformité.
Le champ d’application de la recommandation
1. Les sous-traitants sont-ils concernés ?
2. Les éditeurs de logiciels sont-ils concernés ?
Les mots de passe et autres secrets partagés
3. Pourquoi la CNIL recommande-t-elle toujours l’authentification par mot de passe alors que la double authentification se répand de plus en plus ?
4. Y a-t-il certains services avec lesquels il faut être particulièrement vigilant ?
5. Pourquoi abandonner le renouvellement régulier des mots de passe ?
6. Quelle liste « noire » de mots de passe fréquents utiliser ?
7. Le service informatique peut-il changer manuellement le mot de passe d’un salarié, par exemple suite au blocage d’un compte ?
8. Quelle articulation entre les recommandations de l’ANSSI et la CNIL ?
9. L’ANSSI indique en R22 « ne pas imposer de longueur maximale pour les mots de passe » alors que la CNIL demande d’en fixer une. Comment respecter les deux recommandations ?
10. Quelle fonction utiliser pour stocker les mots de passe ?
11. Si mes utilisateurs utilisent des phrases de passe, dois-je accepter les espaces ?
12. Comment vérifier si ma politique de mots de passe suit les recommandations ?
13. Est-il possible de remplacer les contraintes par un calcul dynamique de l’entropie d’un mot de passe ?
14. Pourquoi supprimer le cas « avec information supplémentaire » de la recommandation de 2017 ?
Texte reference