accueil > Sécurité > Identification et contrôle d’accès > Mots de passe
 

Le mot de passe est la clé d’accès à l’information, cette clé doit être personnelle et suffisamment complexe.

Le mot de passe est personnel et ne doit pas être transmis à un tiers, constamment des pirates tentent de récupérer des mots de passe en lançant des campagnes de mailing en se faisant passer pour l’équipe technique informatique, il ne faut jamais transmettre son mot de passe même aux équipes en charge du support.

Le mot de passe doit être complexe pour ne pas pouvoir être trop facilement découvert – il existe des organisations qui louent de puissantes machines ou des réseaux de machines pour tenter de casser les mots de passe des utilisateurs qui détiennent des informations monnayables.

Les bonnes pratiques :

  • Un mot de passe doit rester personnel, pas de mot de passe partagé entre plusieurs utilisateurs
  • Un mot de passe doit être suffisamment complexe (utilisation d’un mélange de lettres, chiffres et ponctuation, longueur minimum de 8 à 12 caractères en fonction du risque acceptable pour l’utilisateur et de l’effort qu’il est prêt à produire pour se protéger).
  • Un mot de passe doit être changé assez régulièrement
  • Un mot de passe doit être changé dès que l’on soupçonne sa compromission (vol ou perte du PC, divulgation à un tiers, etc.)
  • Un mot de passe ne doit pas être accessible sans protection (par exemple affiché sur un post-it collé sur le tableau ou bien en vue sur le bureau …)
  • Il est recommandé d’utiliser des mots de passe différents sur chacun des sites sur lesquels on se connecte. Comme cela est humainement très difficile, il est conseillé d’utiliser un outil de gestion des mots de passe tel que Keepass (http://www.projet-plume.org/fiche/k...) qui permet de n’avoir qu’un seul mot de passe à retenir por déverrouiller le coffre-fort contenant l’ensemble des mots de passe*
  • Il est recommandé de configurer son navigateur pour qu’il demande de choisir au cas par cas les mots de passe qu’il peut retenir lorsqu’il se connecte garder cette fonctionnalité (comme les forums divers, les sites commerciaux ne possédant pas vos coordonnées bancaires, etc. et, lorsque votre navigateur dispose de cette fonction, configurez le mot de passe maître qui permet de chiffrer les mots de passe enregistrés.

NOTA : un ordinateur allumé avec une session utilisateur ouverte, laissé sans surveillance, même peu de temps (pause-café, etc.) permet à un intrus d’usurper facilement votre identité sans votre mot de passe principal et même de voler les autres mots de passe présents sur le poste de travail.

Informations détaillées et techniques sur : http://www.ssi.gouv.fr/fr/bonnes-pr...



ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits