Password: il Consiglio della Cnil

La semplicità della password rimane la principale vulnerabilità di questa modalità di identificazione. Per ridurre questo rischio, i gestori di database Cnil precisi richiedono la password creata dai loro utenti per essere sufficientemente complessa da essere difficile da rompere.

Parecchie ipotesi sono all'esame della CNIL. Il primo è un sistema in cui l'accesso è protetto da una singola password. In questa situazione, quest'ultimo deve essere composto da un minimo di 12 segni e contenga lettere maiuscole e minuscole, numeri e caratteri speciali. Per limitare il rischio per vedere gli utenti compongono password troppo semplici e quindi mettere in pericolo il database, la Commissione invita le imprese a fornire consulenza di progettazione. Un generatore di password, denominato "Phrase2passe", è anche disponibile in libero accesso sulla. Disponibile sotto forma di un'estensione di software in JavaScript, può essere integrato all'interno dei siti delle aziende che desiderano.il sito della Cnil

Imporre la creazione di una password di 12 segni non sono l'unica opzione che le aziende possono trattenere quando stanno progettando proteggere l'accesso al loro database. Così, la Cnil evoca soluzioni composite, cioè associando con una password per un altro sistema di identificazione. Con questo approccio, la password che l'utente dovrà progettare e tenere sarà più breve e più semplice. Misure di protezione complementari più selezionato sarà solida, meno la password richiesta sarà complessa. 12 segni minimi, si può passare a una semplice serie di 4 numeri.

La Cnil citare complementari diversi tipi di misure di sicurezza:

-blocco o ritardo di accesso dopo numerosi errori di connessione;

-l'attuazione di un "captcha" per contrastare gli attacchi attraverso un "robot";

-Associazione per la password di un ID specifico (se composto da più di 7 segni);

-l'identificazione dell'utente tramite l'indirizzo IP o indirizzo Mac;

-l'identificazione dell'utente attraverso un materiale tenuto in proprio (SIM card, carta di credito...).

La Cnil specifica anche la procedura di autenticazione e le condizioni per la conservazione delle password devono essere fissati. Ricorda che è necessario per la trasmissione delle password da crittografare. E che, inoltre, una volta memorizzati, questi sono sicuri. Ciò significa, da un lato, essi devono essere conservati in uno spazio separato di colui che accetta il controllo di tali password (risposte a domande per trovare una password dimenticata, per esempio), e d'altra parte, essi devono anche essere crittografati. Inoltre, la Commissione dichiara che in nessun caso una password va comunicata con chiarezza all'utente dal gestore dell'azienda del database.

Per quanto riguarda il rinnovo della password, deve, in particolare ricorda la Cnil, intervenire intervalli "pertinenti e ragionevole, che principalmente dipende dalla complessità della password, i dati elaborati imposta e i rischi a cui è esposto". Per l'ammissione di molti specialisti di sicurezza, impone un troppo alto tasso di cambio della password è controproducente. Più spesso, questo porta gli utenti a non cambiare marginale loro vecchie password e quindi di abbassare il livello di sicurezza previsto. Cambiare la password una volta all'anno è già considerato uno sforzo da molti utenti.

Per creare le password, la Commissione ricorda:

-devono essere complessi (12 segni minimi e composti da diversi tipi di segni: lettere maiuscole, lettere minuscole, caratteri speciali, segni di punteggiatura...). Un generatore di password basate sull'uso della prima lettera di ogni parola in una frase è, per inciso, reso disponibile sul sito;

-devono essere impossibile da indovinare (non hanno alcun significato, non contengono informazioni personali come ad esempio una data di nascita o il nome del bambino);

-che la stessa password non può essere utilizzata per garantire più account al fine di evitare "CSS hack."

-non li nota chiaramente su un Post-it o in un file salvato su un computer o uno smartphone.

Quindi non dimenticate, la Cnil raccomanda:

-di adottare, ancora una volta, il metodo della prima lettera di ogni parola. Questo ultimo a ricordare una fase semplice che dà una password complessa. "Once upon a time in America and the 12 bastards miei film preferiti sono" dando: ' Ieufl 'Ael12ssmfp.';

-non esitare a utilizzare un gestore di password (cassaforte virtuale di memorizzare migliaia di password per un account utente). Un elenco dei gestori di password è offerto anche dalla Cnil.