modifications des recommandations de la CNIL concernant les mots de passe

Par une délibération du 22 juin 2017, la CNIL a modifié ses recommandations relatives aux mots de passe comme moyens d’authentification.

En janvier de cette année, la Commission avait adopté une première recommandation qui disposait que :

« S’agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande qu’il soit transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé.
« La commission estime de plus que le sel ou la clé doit être généré au moyen d’un générateur de nombres pseudo-aléatoires cryptographiquement sûr (c’est-à-dire basé sur un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), et ne pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe. »

La nouvelle recommandation émise et publiée au Journal Officiel le 7 juillet ne comprend plus le second paragraphe, qu’elle intègre partiellement dans le premier. La recommandation est désormais rédigée comme il suit :

« S’agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande que tout mot de passe utile à la vérification de l’authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé. »

On notera qu’il n’y a plus de précisions quant à la méthode de « salt » ou à la clé s’agissant de la fonction cryptographique des mots de passe.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *