Recommandations relatives à l'authentification multifacteur et aux mots de passe

L'authentification des différents utilisateurs d'un système d'information (allant des simples utilisateurs aux administrateurs) joue un rôle important dans la gestion de la sécurité d'un système d'information. L'objectif de ce guide est de proposer des recommandations de sécurité relatives à l'authentification en général (recommandations sur le cycle de vie d'un moyen d'authentification quel qu'il soit) et relatives à l'authentification par mots de passe en particulier. La version en vigueur de ce guide est disponible au téléchargement et se substitue à toute version antérieure; la version 1.0 du 05/06/2012 est caduque et a été dépubliée.

Publié le 08 Octobre 2021 Mis à jour le 08 Octobre 2021
Recommandations relatives à l'authentification multifacteur et aux mots de passe - couverture

Ce guide traite de l'authentification pour tout type d'accès, c'est-à-dire du déverrouillage d'un terminal (poste Windows, Linux, etc.), de l'accès à des comptes à privilèges (par des administrateurs par exemple), de l'accès à des applications web (privées ou publiques), etc.

Les recommandations de ce guide doivent être analysées vis-à-vis du contexte dans lequel l'authentification s'effectue.
En effet, l'authentification sur un site de réservation d'un terrain de tennis et l'authentification sur un réseau contenant des données sensibles ne font pas face aux mêmes menaces et n'ont donc pas les mêmes besoins de sécurité.

Ce guide a donc également pour objectif de constituer un support technique pour accompagner une analyse de risque sur l'authentification.

Ce guide se focalise uniquement sur le cas de l'authentification de personnes vis-à-vis de machines.

Ce guide est à destination d'un large public :

  • des personnes ayant un rôle de développement ou d’intégration dans le cadre de la mise en place d’une solution d’authentification;
  • des personnes ayant un rôle d'administration dans le cadre de la configuration des divers outils permettant l'authentification sur le système d'information placé sous leur responsabilité;
  • des personnes ayant une responsabilité (par exemple DSI ou RSSI) dans le cadre de la définition des objectifs de sécurité en matière d'authentification;
  • des utilisateurs finaux des divers moyens d'authentification, en particulier les mots de passe.

Les principales recommandations qui sont mises en avant dans ce guide sont résumées ci-après.

  • Mener une analyse de risque lors de la mise en place de moyens d'authentification.
  • Privilégier l'utilisation de l'authentification multifacteur.
  • Privilégier l'utilisation de l'authentification reposant sur un facteur de possession.
  • Adapter la robustesse d'un mot de passe à son contexte d'utilisation.
  • Utiliser un coffre-fort de mots de passe.