Lorsque l’on pense « moyen d’authentification », on pense forcément « mots de passe » ! Et pourtant, selon la CNIL, cette méthode d’authentification serait peu fiable et nécessiterait donc que de nouvelles règles soient fixées afin d’éliminer tout risque de compromission.
C’est chose faite depuis le 19 janvier 2017, date à laquelle la CNIL a adopté une nouvelle recommandation imposant les règles minimales à respecter pour préserver la sécurité des données.
Les premières exigences mises en avant concernent la taille et la complexité du mot de passe et ces exigences dépendent des mesures complémentaires mises en place pour assurer le niveau de sécurité. En effet, lorsque l’authentification ne se fait que par un mot de passe seul, il doit être long (12 caractères minimum) et complexe (composé de majuscules + minuscules + chiffres + caractères spéciaux). S’il y a restriction d’accès, si une information complémentaire est requise ou si un matériel est nécessaire à l’authentification, la longueur et la complexité du mot de passe peuvent diminuer.
Ensuite, lorsque l’authentification se fait à distance, le serveur doit être identifié au moyen d’un certificat d’authentification et le canal de communication entre le serveur et le client doit être chiffré à l’aide d’un algorithme public réputé non vulnérable.
Les mots de passe ne doivent jamais être stockés en clair mais doivent être cryptés de façon non-réversible et sûre, au moyen d’un sel ou d’une clé. Les mots de passe ne seront jamais non plus communiqués en clair par courrier électronique.
Et même si après avoir suivi ces recommandations et en ayant donc un mot de passe robuste, il sera quand-même nécessaire d’imposer un renouvellement périodique, à adapter en fonction de sa complexité et des données traitées. L’utilisateur doit aussi pouvoir changer lui-même son mot de passe ou en demander le renouvellement.
Enfin l’utilisateur devra être notifié de toute violation détectée de son mot de passe dans les 72 heures maximum. Le responsable de traitement devra alors lui demander de changer son mot de passe dès sa prochaine connexion, ainsi que les mots de passe identiques utilisés pour d’autres services.
Le portail oHRis Congés d’OS Concept permet de mettre en œuvre une politique de gestion des mots de passe complètement conforme à ces recommandations. Comment ?
© 2023 OHRIS - Tous droits réservés
Made in DOUAI
Cookie | Durée | Description |
---|---|---|
cookielawinfo-checkbox-analytics | 11 mois | Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Analytics". |
cookielawinfo-checkbox-functional | 11 mois | Le cookie est défini par GDPR cookie consent pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Fonctionnel". |
cookielawinfo-checkbox-necessary | 11 mois | Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Nécessaire". |
cookielawinfo-checkbox-performance | 11 mois | Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance". |
viewed_cookie_policy | 11 mois | Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle. |