De trop nombreux services ne respectent toujours pas les règles élémentaires de sécurité sur les mots de passe. On ne parle pas ici des utilisateurs qui doivent en utiliser de suffisamment robustes, mais des sites et services qui les envoient par email, les stockent en clair dans leurs bases de données ou imposent des règles étranges. Voici un petit florilège de ce qu’il ne faut pas faire.
Au début de l’année, nous avions lancé un appel afin que vous nous fassiez part de vos retours d’expérience sur la gestion des mots de passe. Peu de temps avant, nous étions en effet tombés sur Wekiwi qui multipliait les faux pas, et c’était peu de le dire.
- Wekiwi envoie des mots de passe en clair, le service client les renvoie à une adresse email non vérifiée
- Gestion catastrophique des mots de passe par des sites et services : faites-nous part de vos expériences
Hacher et saler : on ne stocke pas directement les mots de passe
Si des mauvaises pratiques sont malheureusement encore trop courantes sur Internet, il est important de rappeler quelques principes généraux avant d’entrer dans les détails. La première, triviale, est que « les mots de passe ne doivent jamais être stockés en clair », martèle la CNIL :
« Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre [scrypt et Argon2 sont cités en exemple, ndlr], intégrant l’utilisation d’un sel ou d’une clé ».
Et, pourtant, au fil des fuites de données, on apprend plus ou moins régulièrement que des mots de passe en clair (ou avec un chiffrement faible) se retrouvent dans la nature. Utiliser une fonction cryptographique non réversible permet de vous protéger : le pirate ne pourra normalement pas retrouver votre mot de passe à partir de son empreinte… si les choses sont bien faites évidemment.