16/06/25 - Unicité et mot de passe

Unicité

Mots de passes

Sources :
- https://www.cnil.fr/fr/securite-chiffrement-hachage-signature
- https://cyber.gouv.fr/sites/default/files/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf
- https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html

Longueur

Mot de passe au strict minimum de 12 caractères de long, avec minuscules, majuscules, chiffres et caractères spéciaux. (Idéalement longueur de 16 caractères ou plus recommandées)

Mot de passe oublié 

Recouvrement d'accès via une des deux méthodes suivantes :
- Lien temporaire où on donne un mot de passe généré aléatoirement à l'utilisateur (qui pourra/devra être modifié par l'utilisateur)
- Lien temporaire de réinitialisation du mot de passe.
Durée recommandée par le NIST (début 2019) -> 24 heures max quand envoyé à une adresse e-mail, donc en 2025 peut-être comparer avec d'autres services ? 1 demi-journée ? quelques heures ? à vérifier 

Stockage des mots de passe

Pas de stockage en clair, et rappel, un mot de passe doit être haché, pas chiffré (hachage -> fonction dans un sens ; chiffrer -> fonction à double sens).
Le seul moment où le mot de passe doit être chiffré, c'est uniquement dans un cas extrême. (où on aurait besoin à un moment du mot de passe original en clair, pour s'authentifier vers un autre système externe qui ne supporterait pas les méthodes modernes d'authentifications, donc très rare.)
1. Stocker uniquement les empreintes (résultat d'une fonction de hachage cryptographique comme SHA-2 ou SHA-3) et appliquer une fonction de dérivation comme Argon2id, bcrypt, and PBKDF2 (cf. cheatsheetseries d'OWASP, ANSSI...)
2. Doit comporter un sel choisi aléatoirement pour chaque compte et d'une longueur d'au moins 128 bits (cf. ANSSI)
D'après l'article de l'OWASP, les algorithmes de hachage modernes appliquent automatiquement un sel sur le mot de passe généré.