Recommandations relatives à l’authentification multifacteur et aux mots de passe

Ce guide traite de l’authentification pour tout type d’accès, c’est-à-dire du déverrouillage d’un terminal (poste Windows, Linux, etc.), de l’accès à des comptes à privilèges (par des administrateurs par exemple), de l’accès à des applications web (privées ou publiques), etc.

Les recommandations de ce guide doivent être analysées vis-à-vis du contexte dans lequel l’authentification s’effectue.
En effet, l’authentification sur un site de réservation d’un terrain de tennis et l’authentification sur un réseau contenant des données sensibles ne font pas face aux mêmes menaces et n’ont donc pas les mêmes besoins de sécurité.

Ce guide a donc également pour objectif de constituer un support technique pour accompagner une analyse de risque sur l’authentification.

Ce guide se focalise uniquement sur le cas de l’authentification de personnes vis-à-vis de machines.

Ce guide est à destination d’un large public :

• des personnes ayant un rôle de développement ou d’intégration dans le cadre de la mise en place d’une solution d’authentification;
• des personnes ayant un rôle d’administration dans le cadre de la configuration des divers outils permettant l’authentification sur le système d’information placé sous leur responsabilité;
• des personnes ayant une responsabilité (par exemple DSI ou RSSI) dans le cadre de la définition des objectifs de sécurité en matière d’authentification;
• des utilisateurs finaux des divers moyens d’authentification, en particulier les mots de passe.

Les principales recommandations qui sont mises en avant dans ce guide sont résumées ci-après.

• Mener une analyse de risque lors de la mise en place de moyens d’authentification.
• Privilégier l’utilisation de l’authentification multifacteur.
• Privilégier l’utilisation de l’authentification reposant sur un facteur de possession.
• Adapter la robustesse d’un mot de passe à son contexte d’utilisation.
• Utiliser un coffre-fort de mots de passe.