Skip to main content

16/06/25 - Unicité et mot de passe


Unicité

Mots de passes

Sources :
- https://www.cnil.fr/fr/securite-chiffrement-hachage-signature
https://cyber.gouv.fr/sites/default/files/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf
- https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
- https://www.cnil.fr/fr/mots-de-passe-une-nouvelle-recommandation-pour-maitriser-sa-securite

CNIL & RGPD

Les manquements les plus souvent constatés lors des contrôles (déjà en 2021) c'était des mots de passes bien trop faibles et stockés en clairs. (Article 5 et 32 du RGPD)

Se protéger derrière le RGPD est donc totalement une raison valide pour accroître notre sécurité et pour bien se couvrir.

Recommandations pour l'utilisateur

 

Longueur

Mot de passe au strict minimum de 12 caractères de long, avec minuscules, majuscules, chiffres et caractères spéciaux. (Idéalement longueur de 16 caractères ou plus recommandées)

Mot de passe oublié 

Recouvrement d'accès via une des deux méthodes suivantes :
- Lien temporaire où on donne un mot de passe généré aléatoirement à l'utilisateur (qui pourra/devra être modifié par l'utilisateur)
- Lien temporaire de réinitialisation du mot de passe.
Durée recommandée par le NIST (début 2019) -> 24 heures max quand envoyé à une adresse e-mail, donc en 2025 peut-être comparer avec d'autres services ? 1 demi-journée ? quelques heures ? à vérifier 

Stockage des mots de passe

Pas de stockage en clair, et rappel, un mot de passe doit être haché, pas chiffré (hachage -> fonction dans un sens ; chiffrer -> fonction à double sens).
Le seul moment où le mot de passe doit être chiffré, c'est uniquement dans un cas extrême.me (où on aurait besoin à un moment du mot de passe original en clair, pour s'authentifier vers un autre système externe qui ne supporterait pas les méthodes modernes d'authentifications, donc très rare.) (cf. OWASP)
1. Stocker uniquement les empreintes (résultat d'une fonction de hachage cryptographique comme SHA-2 ou SHA-3) et appliquer une fonction de dérivation comme Argon2id, bcrypt, andou PBKDF2 (cf. cheatsheetseries d'OWASP, ANSSI...)
2. Doit comporter un sel choisi aléatoirement pour chaque compte et d'une longueur d'au moins 128 bits (cf. ANSSI)
D'après l'article de l'OWASP, les algorithmes de hachage modernes appliquent automatiquement un sel sur le mot de passe généré.

Back to top