Twitter
Twitter
Facebook
Kaspersky Partner
Twitter
Facebook
Kaspersky Partner

Conseils

Recommandations relatives à l’authentification multifacteur et aux mots de passe – #2fa – #motdepasse


vendredi 8 octobre 2021

L’authentification des différents utilisateurs d’un système d’information (allant des simples utilisateurs aux administrateurs) joue un rôle important dans la gestion de la sécurité d’un système d’information. L’objectif de ce guide est de proposer des recommandations de sécurité relatives à l’authentification en général (recommandations sur le cycle de vie d’un moyen d’authentification quel qu’il soit) et relatives à l’authentification par mots de passe en particulier.

Ce guide est à destination d’un large public :

  • des personnes ayant un rôle de développement ou d’intégration dans le cadre de la mise en place d’une solution d’authentification;
  • des personnes ayant un rôle d’administration dans le cadre de la configuration des divers outils permettant l’authentification sur le système d’information placé sous leur responsabilité;
  • des personnes ayant une responsabilité (par exemple DSI ou RSSI) dans le cadre de la définition des objectifs de sécurité en matière d’authentification;
  • des utilisateurs finaux des divers moyens d’authentification, en particulier les mots de passe.

Guide ANSSI :

  • Recommandations relatives à l’authentification multifacteur et aux mots de passe – v2.0 du 08/10/2021 / 538.16 Ko – PDF

Les principales recommandations qui sont mises en avant dans ce guide sont résumées ci-après.

  • Mener une analyse de risque lors de la mise en place de moyens d’authentification.
  • Privilégier l’utilisation de l’authentification multifacteur (cf. section 2.4).
  • Privilégier l’utilisation de l’authentification reposant sur un facteur de possession (cf. section 2.4).
  • Adapter la robustesse d’un mot de passe à son contexte d’utilisation
  • Utiliser un coffre-fort 1 de mots de passe

 


La CNIL s’appuiera sur ce guide pour recommander des bonnes pratiques en matière d’authentification et encourage tous les acteurs du numérique à s’en saisir afin de progresser dans leur conformité à l’obligation de sécurité du RGPD. Dans ce cadre, une mise à jour de sa recommandation sur
l’usage des mots de passe sera rendue publique en 2022.

Les conseils de la CNIL pour un bon mot de passe


La double authentificationauthentification à deux facteurs (A2F)1authentification à double facteur ou vérification en deux étapes (two-factor authentication en anglais, ou 2FA) est une méthode d’authentification forte par laquelle un utilisateur peut accéder à une ressource informatique (un ordinateur, un téléphone intelligent ou encore un site web) après avoir présenté deux preuves d’identité distinctes à un mécanisme d’authentification. Un exemple de ce processus est l’accès à un compte bancaire grâce à un guichet automatique bancaire : seule la combinaison de la carte bancaire (que l’usager détient) et du numéro d’identification personnel (que l’usager connaît) permet de consulter le solde du compte et de retirer de l’argent.

La multiple authentification, plus communément appelée authentification à facteurs multiples ou authentification multi-facteurs (multi-factor authentication en anglais, MFA) exige, quant à elle, plus de deux preuves d’identité.


 

Recommandations relatives à l’authentification multifacteur et aux mots de passe – #2fa – #motdepasse

L’authentification des différents utilisateurs d’un système d’information (allant des simples utilisateurs aux administrateurs) joue un rôle important dans la gestion de la sécurité d’un système d’information. L’objectif de ce guide est de proposer des recommandations de sécurité relatives à l’authentification en général (recommandations sur le cycle de vie d’un moyen d’authentification quel qu’il soit) et relatives à l’authentification par mots de passe en particulier.

Ce guide est à destination d’un large public :

  • des personnes ayant un rôle de développement ou d’intégration dans le cadre de la mise en place d’une solution d’authentification;
  • des personnes ayant un rôle d’administration dans le cadre de la configuration des divers outils permettant l’authentification sur le système d’information placé sous leur responsabilité;
  • des personnes ayant une responsabilité (par exemple DSI ou RSSI) dans le cadre de la définition des objectifs de sécurité en matière d’authentification;
  • des utilisateurs finaux des divers moyens d’authentification, en particulier les mots de passe.

Guide ANSSI :

  • Recommandations relatives à l’authentification multifacteur et aux mots de passe – v2.0 du 08/10/2021 / 538.16 Ko – PDF

Les principales recommandations qui sont mises en avant dans ce guide sont résumées ci-après.

  • Mener une analyse de risque lors de la mise en place de moyens d’authentification.
  • Privilégier l’utilisation de l’authentification multifacteur (cf. section 2.4).
  • Privilégier l’utilisation de l’authentification reposant sur un facteur de possession (cf. section 2.4).
  • Adapter la robustesse d’un mot de passe à son contexte d’utilisation
  • Utiliser un coffre-fort 1 de mots de passe

 


La CNIL s’appuiera sur ce guide pour recommander des bonnes pratiques en matière d’authentification et encourage tous les acteurs du numérique à s’en saisir afin de progresser dans leur conformité à l’obligation de sécurité du RGPD. Dans ce cadre, une mise à jour de sa recommandation sur
l’usage des mots de passe sera rendue publique en 2022.

Les conseils de la CNIL pour un bon mot de passe


La double authentificationauthentification à deux facteurs (A2F)1authentification à double facteur ou vérification en deux étapes (two-factor authentication en anglais, ou 2FA) est une méthode d’authentification forte par laquelle un utilisateur peut accéder à une ressource informatique (un ordinateur, un téléphone intelligent ou encore un site web) après avoir présenté deux preuves d’identité distinctes à un mécanisme d’authentification. Un exemple de ce processus est l’accès à un compte bancaire grâce à un guichet automatique bancaire : seule la combinaison de la carte bancaire (que l’usager détient) et du numéro d’identification personnel (que l’usager connaît) permet de consulter le solde du compte et de retirer de l’argent.

La multiple authentification, plus communément appelée authentification à facteurs multiples ou authentification multi-facteurs (multi-factor authentication en anglais, MFA) exige, quant à elle, plus de deux preuves d’identité.


 

Recommandations relatives à l’authentification multifacteur et aux mots de passe – #2fa – #motdepasse

L’authentification des différents utilisateurs d’un système d’information (allant des simples utilisateurs aux administrateurs) joue un rôle important dans la gestion de la sécurité d’un système d’information. L’objectif de ce guide est de proposer des recommandations de sécurité relatives à l’authentification en général (recommandations sur le cycle de vie d’un moyen d’authentification quel qu’il soit) et relatives à l’authentification par mots de passe en particulier.

Ce guide est à destination d’un large public :

  • des personnes ayant un rôle de développement ou d’intégration dans le cadre de la mise en place d’une solution d’authentification;
  • des personnes ayant un rôle d’administration dans le cadre de la configuration des divers outils permettant l’authentification sur le système d’information placé sous leur responsabilité;
  • des personnes ayant une responsabilité (par exemple DSI ou RSSI) dans le cadre de la définition des objectifs de sécurité en matière d’authentification;
  • des utilisateurs finaux des divers moyens d’authentification, en particulier les mots de passe.

Guide ANSSI :

  • Recommandations relatives à l’authentification multifacteur et aux mots de passe – v2.0 du 08/10/2021 / 538.16 Ko – PDF

Les principales recommandations qui sont mises en avant dans ce guide sont résumées ci-après.

  • Mener une analyse de risque lors de la mise en place de moyens d’authentification.
  • Privilégier l’utilisation de l’authentification multifacteur (cf. section 2.4).
  • Privilégier l’utilisation de l’authentification reposant sur un facteur de possession (cf. section 2.4).
  • Adapter la robustesse d’un mot de passe à son contexte d’utilisation
  • Utiliser un coffre-fort 1 de mots de passe

 


La CNIL s’appuiera sur ce guide pour recommander des bonnes pratiques en matière d’authentification et encourage tous les acteurs du numérique à s’en saisir afin de progresser dans leur conformité à l’obligation de sécurité du RGPD. Dans ce cadre, une mise à jour de sa recommandation sur
l’usage des mots de passe sera rendue publique en 2022.

Les conseils de la CNIL pour un bon mot de passe


La double authentificationauthentification à deux facteurs (A2F)1authentification à double facteur ou vérification en deux étapes (two-factor authentication en anglais, ou 2FA) est une méthode d’authentification forte par laquelle un utilisateur peut accéder à une ressource informatique (un ordinateur, un téléphone intelligent ou encore un site web) après avoir présenté deux preuves d’identité distinctes à un mécanisme d’authentification. Un exemple de ce processus est l’accès à un compte bancaire grâce à un guichet automatique bancaire : seule la combinaison de la carte bancaire (que l’usager détient) et du numéro d’identification personnel (que l’usager connaît) permet de consulter le solde du compte et de retirer de l’argent.

La multiple authentification, plus communément appelée authentification à facteurs multiples ou authentification multi-facteurs (multi-factor authentication en anglais, MFA) exige, quant à elle, plus de deux preuves d’identité.