Fixer des contraintes de longueur et de complexité des mots de passe
Pourquoi ?
Cette mesure permet de diminuer le risque de découverte et d'usurpation de mot de passe par des acteurs malveillants, par exemple, en testant de nombreux mots de passe sur la base de mots du dictionnaire, à la recherche de mots de passe simples à découvrir.
Comment mettre en oeuvre cette mesure ?
Par défaut, utiliser au moins la règle de force de mot de passe suivante :
Nombre de caractères
12 caractères minimum pour les utilisateurs
16 caractères minimum pour les administrateurs
Caractères spéciaux
Au moins une minuscule
Au moins une majuscule
Au moins un chiffre
Au moins un caractère spécial de la liste suivante : #?!@$%^&*-'+()_[]
Au-delà de 20 caractères, il peut être envisageable d’enlever les contraintes sur les caractères spéciaux.
Lors de la création d’un mot de passe, éviter les mots du dictionnaire, les suites de lettres, les suites de chiffre, les dates, les informations personnelles (nom, prénom, date de naissance).
Les deux outils suivants peuvent être recommandés aux utilisateurs ou administrateurs :
Un outil de la CNIL permettant de créer un mot de passe robuste.
Le guide sur les recommandations relatives à l’authentification mutlifacteur et aux mots de passe
Sensibilisation sur la gestion des mots de passe
Les principaux messages de sensibilisation suivants peuvent être communiqués aux administrateurs et aux utilisateurs :
- Respecter les règles de force des mots de passe lors de leur création lorsque celle-ci n’est pas vérifiée.
- Utiliser un mot de passe différent pour chaque service.
- Ne pas afficher ses mots de passe à la vue de tous.
- Ne pas communiquer ses mots de passe à un tiers.
- Renouveler ses mots de passe en cas de soupçon.
- Recourir à un coffre-fort de mot de passe si possible.
Pour aller plus loin
Pourquoi et comment bien gérer ses mots de passe (Cybermalveillance).
Mis à jour le : 14/11/2023
Merci !