Pour protéger ses utilisateurs des attaques informatiques1 et être conformes à la règlementation, les éditeurs ne doivent pas laisser leurs utilisateurs choisir librement leur mot de passe, mais doivent imposer des restrictions.

Les textes n'indiquent pas explicitement les conditions à implémenter et se contentent d'indiquer qu'il faut « mettre en oeuvre les mesures adaptées aux risques » :

« Compte tenu de l'état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque »

— Article 32-1 du RGPD.

La CNIL a cependant publié des recommandations2 à suivre. Elle indique notamment que les mots de passe doivent avoir un minimum de 12 caractères et inclure des majuscules, des minuscules, des chiffres et des caractères spéciaux3.

Rien ne vous interdit cependant de prendre des mesures plus strictes. Plus le mot de passe sera long et composé de caractères différents, plus la sécurité sera forte. Il est donc important de permettre aux utilisateurs de saisir tous les caractères, aussi bien des chiffres, des lettres que des accents, des caractères de ponctuation, des espaces, des symboles monétaires, etc.

Il peut aussi être intéressant de créer une liste de termes interdits que les mots de passe ne pourront pas contenir. Cette liste peut contenir, par exemple, les mots du dictionnaire ou les mots de passe faisant partie de brèches de données connues.

Ces restrictions sont importantes pour assurer la confidentialité des données des utilisateurs et ne pas être sanctionné par les autorités. Les sociétés en charge des sites Spartoo.com4 et BricoPrive.com5 ont, par exemple, déjà été condamnées pour avoir, entre autres, permis a leurs clients de choisir un mot de passe d'uniquement six chiffres.

Toutes ces contraintes peuvent être mal perçues par les utilisateurs qui peuvent avoir des difficultés à générer et mémoriser un mot de passe conforme aux exigences. Un lien vers un générateur de mots de passe peut être proposé pour leur permettre de créer facilement un nouveau mot de passe, et des conseils peuvent leur être donnés, notamment celui de noter le mot de passe6 sur un document papier, ou dans un gestionnaire de mots de passe.

Notes et références

  1. Les mots de passe peuvent être compromis par des attaques Bruteforce ou des attaques par dictionnaire. Voir Les techniques des hackers pour trouver les mots de passe et les façons de s'en protéger.
  2. Les recommandations de la CNIL sur la sécurité d'une authentification par mot de passe : Délibération n°2017-012 du 19 janvier 2017
  3. La CNIL accepte des restrictions moindres sur les mots de passe si des mesures complémentaires de sécurité sont prises, comme la suspension ou le blocage du compte après un certain nombre de tentatives incorrectes, mais il est préférable de ne pas abaisser ses exigences.
  4. La société Spartoo a été sanctionnée par la CNIL pour avoir permis à ses clients de choisir des mots de passe trop faibles. Voir « Délibération de la CNIL contre la société Spartoo du 28 juillet 2020 (SAN-2020-003) ».
  5. La société Brico Privé a été sanctionée par la CNIL pour avoir permis à ses clients de choisir un mot de passe d'uniquement de six caractères numériques. Voir « Délibération de la CNIL contre la société Brico Privé du 12 juin 2021 (SAN-2021-008) ».
  6. Les internautes devraient noter leurs mots de passe, sur un document papier ou en utilisant un gestionnaire de mots de passe. Voir l'article « Vous devriez noter vos mots de passe ».