6 conseils du FBI pour des mots de passe inviolables. Comparaison avec les préconisations de la CNIL

Si vous cherchez des conseils en matière de sécurité informatique, que vous soyez particuliers ou entreprises, le FBI vous prodigue chaque semaine ses conseils avec son programme Protected Voices.

J’ai donc décidé de vous partager les 6 conseils diffusés en mars 2020 en partenariat avec le National Institute of Standards and Technology (NIST) afin de sécuriser le réseau informatique contre les piratages de mots de passe, et de les comparer pour vous avec les préconisations CNIL / ANSSI. En effet, certains de ces conseils sont assez éloignés. À vous de vous faire une opinion.

 1. Quelle est la bonne longueur ?

Pour le FBI :

Exiger des mots de passe longs ou des phrases secrètes d’au moins 15 caractères, sans nécessiter de majuscules, de minuscules ou de caractères.

Pour la CNIL / ANSSI :

• au moins 8 caractères comportant 3 des 4 types de caractères (majuscules, minuscules, chiffres, caractères spéciaux) si l’authentification prévoit une restriction de l’accès au compte (cas le plus courant) comme par exemple :

– une temporisation d’accès au compte après plusieurs échecs ;
– un « Captcha » ;
– un verrouillage du compte après 10 échecs ;

• 12 caractères minimum et 4 types de caractères si l’authentification repose uniquement sur un mot de passe ;
• plus de 5 caractères si l’authentification comprend une information complémentaire. L’information complémentaire doit alors utiliser un identifiant confidentiel d’au moins 7 caractères et bloquer le compte à la 5^ème tentative infructueuse ;
• le mot de passe peut ne faire que 4 caractères si l’authentification s’appuie sur un matériel détenu par la personne et si le mot de passe n’est utilisé que pour déverrouiller le dispositif matériel détenu en propre par la personne (par exemple une carte à puce ou téléphone portable) et qui celui-ci se bloque à la 3ème tentative infructueuse.

2. Faut-il limiter le nombre d’essais ?

Pour le FBI :

Pour éviter une attaque par déni de service (lorsque le service informatique ne répond plus à cause d’une surcharge de demandes) contre votre service de messagerie, ne verrouillez pas le compte d’un utilisateur après un certain nombre de tentatives de connexion incorrectes. Si un pirate inonde votre réseau d’informations de connexion volontairement incorrectes, vos utilisateurs ne seront pas exclus de leurs comptes.

Pour la CNIL / ANSSI :

 Limitez le nombre de tentatives d’accès à un compte 10, 5 voire 3 tentatives maximum selon les situations.

3. Quand faut-il changer de mots de passe ?

Pour le FBI :

N’obligez pas à changer les mots de passe s’il n’y a pas de raison de croire que le réseau a été compromis.

Pour la CNIL / ANSSI :

 Imposer un renouvellement du mot de passe selon une périodicité pertinente et raisonnable.

4. Les mots du dictionnaire ?

Pour le FBI :

Lors de la création de mots de passe, filtrez-les avec les mots du dictionnaire et les mots de passe connus comme ayant été compromis. Cela obligera l’utilisateur à trouver un autre mot de passe plus sûr. Ce système peut être mis en place par l’administrateur système de l’entreprise.

Pour la CNIL / ANSSI :

 La CNIL ne donne pas de précision sur ce point.

5. Pas d’indices, désolé !

Pour le FBI :

N’autorisez pas les indices pour retrouver un mot de passe.

Pour la CNIL / ANSSI :

La CNIL ne fournit pas de précision sur ce point (mais on peut se douter qu’il vaut mieux les éviter).

6. Et le gestionnaire de mots de passe ?

Pour le FBI :

Utilisez si besoin un programme de gestion de mots de passe. Ces programmes stockent tous vos mots de passe au même endroit et certains programmes créent même des mots de passe solides pour vous. Ainsi le seul mot de passe à retenir est celui du gestionnaire.

Bien sûr, si ce mot de passe principal est découvert, c’est toute la sécurité des mots de passe qui est compromise. Mais selon le FBI, de nombreux professionnels de l’informatique conviennent que les avantages d’un programme de gestion des mots de passe l’emportent largement sur ce risque.

Pour la CNIL / ANSSI :

Utilisez des gestionnaires de mots de passe pour avoir des mots de passe différents pour chaque service, tout en ne retenant qu’un mot de passe maître.

Et vous, qu’allez-vous faire ?

Il ne vous reste plus qu’à faire votre choix. Pour moi, c’est fait.

1. La longueur des mots de passe ? Je choisis la version « CNIL », 8 caractères minimum
2. Le nombre d’essais ? c’est selon les logiciels et les situations !
3. Le changement ? là aussi, c’est selon, mais un changement annuel est effectué au minimum pour tous les accès, mensuel quand c’est plus stratégique
4. Les mots du dictionnaire ? Même si ce n’est pas précisé par la CNIL, c’est tellement évident !
5. Besoin d’indice ? 😉
6. Oui, c’est une évidence, et j’utilise une application depuis près de 10 ans, peut-être même un peu plus (ça doit bien dater de mon 1^er Palm ! c’est dire …)

A votre tour !