Quelle est la longueur à partir de laquelle un mot de passe est jugé comme «fort » actuellement par l’ANSSI ? Les recommandations de l’ANSSI sur les mots de passe datant de 2013, ne semble plus correspondre aux critères du calculateur de complexité du mots de passe disponible sur le site de l’agence.
Un bon mot de passe est avant tout difficile à découvrir même à l’aide d’outils automatisés. La force d’un mot de passe dépend de sa longueur et de sa complexité (nombre de possibilités existantes pour chaque caractère le composant.) L’ANSSI recommande toujours une longueur minimale de 12 caractères comprenant des majuscules, minuscules, chiffres et caractères spéciaux. En effet, un mot de passe constitué de minuscules, de majuscules, de caractères spéciaux et de chiffres est techniquement plus difficile à découvrir qu’un mot de passe constitué uniquement de minuscules. un bon mot de passe doit être facile à retenir pour rester fort.
La robustesse dépend aussi du mécanisme mis en oeuvre pour vérifier le mot de passe et de ses caractéristiques techniques (temps de vérification, mécanisme cryptographique sous-jacent notamment). Les règles édictées par l’agence en matière de mécanismes cryptographiques imposent par exemple une taille de clé minimale de 100 bits. Il est même recommandé une taille de clé de 128 bits pour des clés dont l’usage présumé est de longue durée. Il est à noter qu’il s’agit d’une exigence minimale dans le cadre de système d’information de diffusion restreinte (SIDR) Nous devons prendre en compte le facteur de robustesse dans le contexte particulier de la politique des mots de passe définie et appliquée par le prestataire.
Il est à noter qu’un simple mot de passe, même considéré robuste, n’est pas la solution idéale. L’ANSSI recommande très fortement, dans tous les cas où cela est possible, l’utilisation de technologies d’authentification forte (utilisation de certificats d’authentification sur carte à puce, utilisation de schéma d’authentification à plusieurs facteurs etc.).