Mots de passe : imposer des types de caractères, une mesure peu efficace ?
Dans ses lignes directrices relatives à l'authentification sur les SI gouvernementaux, le NIST encourage les mots de passe sans limite de longueur, mais déconseille d'imposer des types de caractères.
L'entropie, meilleur indicateur pour évaluer la robustesse d'un mot de passe ?
En 2022, la CNIL en avait fait sa méthode référente. Elle recommande, par exemple, pour un mot de passe seul (sans mesures de restriction d'accès, ni information complémentaire que communique le responsable de traitement, ni matériel que détient la personne concernée), une entropie d'au moins 80 bits. Ce qui peut se traduire par :
- 12 caractères des 4 types (minuscules, majuscules, chiffres, spéciaux) avec une table d'au moins 37 caractères spéciaux
- 14 caractères sans caractères spéciaux
- Une phrase de 7 mots
Encourager les mots/phrases de passe sans limite de longueur
Le NIST se montre beaucoup plus réservé sur la notion d'entropie. Autant on peut la calculer facilement pour des données aux fonctions de distribution déterministes, autant c'est difficile pour des mots de passe que choisissent les utilisateurs, affirme l'organisation américaine de standardisation.
Aussi préfère-t-elle une approche basée essentiellement sur la longueur. Celle-ci n'ayant pas d'influence sur la taille des mots de passe hachés, il faut encourager les utilisateurs en créer d'aussi longs qu'ils le veulent*.
Ne pas imposer des types de caractères
Dans la vision du NIST, on se gardera, en revanche, d'imposer des types de caractères spécifiques. Principale raison : il a été démontré, à partir de corpus de mots de passe leakés, que les utilisateurs répondent à ces contraintes de façon très prédictible. Ils ont, par exemple, de fortes chances de transformer la chaîne "password" en "Password1" si on leur demande au moins une majuscule et un chiffre.
Autoriser les espaces
Le NIST estime par ailleurs qu'il faut autoriser les espaces, pour favoriser l'usage de phrases de passe. Quant au risque que l'utilisateur saisisse involontairement plusieurs espaces, on peut l'éliminer en instaurant un dédoublonnement au niveau de la vérification si la première tentative échoue.
Ne pas interdire le copier-coller
On ne devrait pas, en outre, interdire à l'utilisateur d'utiliser le copier-coller pour renseigner son mot de passe, poursuit le NIST. Ni refuser d'afficher les caractères saisis plutôt qu'une série de points ou d'astérisques. On n'exigera par contre pas de renouvellement périodique (position qui est aussi, entre autres, celle de la CNIL, mais pas de l'ANSSI). On évitera aussi de proposer d'utiliser des questions de sécurité.
* Le NIST impose au moins 8 caractères et en recommande au moins 15. Il conseille de fixer la longueur maximale autorisée à au moins 64 caractères. Et d'accepter tous les caractères ASCII imprimables, ainsi que les caractères Unicode (en signalant aux utilisateurs que ceux-ci peuvent être représentés différemment en fonction des postes.
Illustration © anttoniart - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité