ANSSI-PG-078 08/10/2021 RECOMMANDATIONS RELATIVES À L'AUTHENTIFICATION MULTIFAC

ANSSI-PG-078 08/10/2021 RECOMMANDATIONS RELATIVES À L'AUTHENTIFICATION MULTIFACTEUR ET AUX MOTS DE PASSE GUIDE ANSSI PUBLIC VISÉ : Développeur Administrateur RSSI DSI Utilisateur Informations Attention Ce document rédigé par l’ANSSI présente les «Recommandations relatives à l’authentifica- tion multifacteur et aux mots de passe ». Il est téléchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de l’ANSSI placée sous le régime de la « Licence Ouverte v2.0 » publiée par la mission Etalab [19]. Conformément à la Licence Ouverte v2.0, le guide peut être réutilisé librement, sous réserve de mentionner sa paternité (source et date de la dernière mise à jour). La réutilisation s’en- tend du droit de communiquer, diffuser, redistribuer, publier, transmettre, reproduire, co- pier, adapter, modifier, extraire, transformer et exploiter, y compris à des fins commerciales. Sauf disposition réglementaire contraire, ces recommandations n’ont pas de caractère norma- tif; elles sont livrées en l’état et adaptées aux menaces au jour de leur publication. Au regard de la diversité des systèmes d’information, l’ANSSI ne peut garantir que ces informations puissent être reprises sans adaptation sur les systèmes d’information cibles. Dans tous les cas, la pertinence de l’implémentation des éléments proposés par l’ANSSI doit être soumise, au préalable, à la validation de l’administrateur du système et/ou des personnes en charge de la sécurité des systèmes d’information. Évolutions du document : VERSION DATE NATURE DES MODIFICATIONS 1.0 2012 Version initiale 2.0 08/10/2021 Réécriture complète du guide RECOMMANDATIONS RELATIVES À L'AUTHENTIFICATION MULTIFACTEUR ET AUX MOTS DE PASSE – 1 Avant-propos de la CNIL L’authentification des utilisateurs accédant un système informatique est un des fondamentaux de la sécurité informatique. Ce guide de portée très large, élaboré par l’ANSSI avec la contribution de la CNIL, constitue une référence pour l’élaboration de mesures d’authentification, essentielles pour garantir la sécurité des traitements de données personnelles, en application des articles 5 et 32 du RGPD. Il sera nécessaire d’adapter ces mesures aux risques propres à chaque application ou traitement se- lon le contexte, en étant particulièrement vigilant sur la biométrie, spécifiquement encadrée par le RGPD. La CNIL s’appuiera sur ce guide pour recommander des bonnes pratiques en matière d’authentifi- cation et encourage tous les acteurs du numérique à s’en saisir afin de progresser dans leur confor- mité à l’obligation de sécurité du RGPD. Dans ce cadre, une mise à jour de sa recommandation sur l’usage des mots de passe sera rendue publique en 2022. En savoir plus : https://www.cnil.fr/fr/mot-de-passe 2 – RECOMMANDATIONS RELATIVES À L'AUTHENTIFICATION MULTIFACTEUR ET AUX MOTS DE PASSE Table des matières 1 Introduction 4 1.1 Objectifs du guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.2 Organisation du guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.3 Convention de lecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.4 Glossaire et acronymes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2 Authentification 8 2.1 Authentification et premières définitions . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.2 Menaces et attaques sur l’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.3 Aperçu des limites de l’authentification par mots de passe . . . . . . . . . . . . . . . 11 2.4 Qu’est-ce que l’authentification multifacteur? . . . . . . . . . . . . . . . . . . . . . . . 13 2.5 Authentification forte : distinction avec l’authentification multifacteur . . . . . . . . 15 2.6 Éléments supplémentaires à considérer dans le choix des moyens d’authentification en fonction du contexte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3 Recommandations concernant le cycle de vie des facteurs d’authentification 19 3.1 Création et renouvellement des facteurs d’authentification . . . . . . . . . . . . . . . 19 3.2 Transmission et utilisation des facteurs d’authentification . . . . . . . . . . . . . . . . 20 3.3 Révocation des facteurs d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 24 4 Facteur de connaissance (« ce que je sais ») 26 4.1 Politique de sécurité de mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.2 Longueur des mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 4.3 Règles de complexité des mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.4 Délai d’expiration des mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4.5 Contrôle de la robustesse des mots de passe . . . . . . . . . . . . . . . . . . . . . . . . 31 4.6 Stockage des mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.7 Recouvrement d’un accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.8 Coffre-fort de mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.9 Recommandations à destination des utilisateurs . . . . . . . . . . . . . . . . . . . . . 35 5 Facteur de possession (« ce que je possède ») 37 5.1 Recommandations relatives à l’utilisation d’un facteur de possession . . . . . . . . . 37 5.2 Utilisation d’un facteur de possession pour une authentification multifacteur . . . . 39 6 Facteur inhérent (« ce que je suis ») 40 6.1 Avantages et inconvénients des facteurs inhérents . . . . . . . . . . . . . . . . . . . . 40 6.2 Recommandations relatives à l’utilisation d’un facteur inhérent . . . . . . . . . . . . 41 Liste des recommandations 43 Bibliographie 45 RECOMMANDATIONS RELATIVES À L'AUTHENTIFICATION MULTIFACTEUR ET AUX MOTS DE PASSE – 3 1 Introduction 1.1 Objectifs du guide L’authentification des différents utilisateurs d’un système d’information (allant des simples utili- sateurs aux administrateurs) joue un rôle important dans la gestion de la sécurité d’un système d’information. L’objectif de ce guide est de proposer des recommandations de sécurité relatives à l’authentification en général (recommandations sur le cycle de vie d’un moyen d’authentification quel qu’il soit) et relatives à l’authentification par mots de passe en particulier. Ce guide traite de l’authentification pour tout type d’accès, c’est-à-dire du déverrouillage d’un ter- minal (poste Windows, Linux, etc.), de l’accès à des comptes à privilèges (par des administrateurs par exemple), de l’accès à des applications web (privées ou publiques), etc. Les recommandations de ce guide doivent être analysées vis-à-vis du contexte dans lequel l’authen- tification s’effectue. En effet, l’authentification sur un site de réservation d’un terrain de tennis et l’authentification sur un réseau contenant des données sensibles ne font pas face aux mêmes me- naces et n’ont donc pas les mêmes besoins de sécurité. Ce guide a donc également pour objectif de constituer un support uploads/Politique/ anssi-guide-authentification-multifacteur-et-mots-de-passe.pdf

  • 40
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager