Password recommendations: what the standards say
Security standards define precise requirements on password length and complexity. Synthesis of key recommendations.
La Commission nationale de l'informatique et des libertés (CNIL) encadre la gestion des mots de passe via la délibération n° 2022-100 du 21 juillet 2022, qui remplace celle de 2017. Cette recommandation s'applique à tout traitement de données personnelles en France (RGPD).
Les 5 cas de configuration
La CNIL ne fixe pas une exigence unique. Elle définit 5 cas selon les mesures complémentaires en place. Plus les défenses additionnelles sont fortes, plus le mot de passe peut être court.
| Cas | Mesure complémentaire | Longueur mini | Complexité |
|---|---|---|---|
| 1 | Mot de passe seul | 12 caractères | 4 types |
| 2 | + Restriction des tentatives (anti-bruteforce) | 8 caractères | 3 types |
| 3 | + Information additionnelle (date naissance, code) | 5 caractères | uniquement chiffres |
| 4 | + Matériel détenu par la personne | 4 chiffres (PIN) | numérique |
| 5 | 2FA matérielle (ex. badge + biométrie) | variable | variable |
Concrètement, le cas 1 est la situation par défaut pour la plupart des applications web : un mot de passe de 12 caractères avec majuscules, minuscules, chiffres et symboles.
Les 4 types de caractères au sens CNIL
- Lettres minuscules (a-z)
- Lettres majuscules (A-Z)
- Chiffres (0-9)
- Caractères spéciaux (!@#$%^& etc.)
Générer un mot de passe 12 caractères conforme CNIL
Restriction des tentatives
Pour passer du cas 1 au cas 2, la CNIL impose une des mesures suivantes :
- Temporisation entre tentatives (ex. 1 seconde après chaque échec, ou délai croissant).
- Verrouillage du compte après N tentatives (typiquement 5-10).
- CAPTCHA ou défi anti-bot après plusieurs échecs.
- Notification de tentative à l'utilisateur (e-mail, SMS).
Le stockage du mot de passe
La CNIL exige que les mots de passe soient stockés sous une forme non réversible :
- Hachage cryptographique salé et résistant aux attaques par GPU/ASIC.
- Algorithme recommandé : Argon2id, scrypt ou bcrypt avec un cost factor élevé.
- Salt unique par utilisateur, ≥ 16 octets aléatoires.
Voir notre guide pratique : Comment stocker un mot de passe en base de données.
Renouvellement périodique : la CNIL aligne sur le NIST
Depuis 2022, la CNIL n'impose plus de renouvellement périodique systématique pour les comptes utilisateurs (sauf pour comptes à privilèges ou administrateurs). Cette position s'aligne sur le NIST SP 800-63B : forcer un changement tous les 90 jours pousse les utilisateurs vers des variantes prévisibles (Motdepasse2024Q1, Motdepasse2024Q2) qui réduisent la sécurité réelle.
Le renouvellement reste exigé :
- En cas de compromission suspectée (fuite, intrusion, signal d'alerte).
- Pour les comptes à privilèges (admin, super-utilisateur).
- Pour les comptes inactifs réactivés.
Sanctions et contrôles
Le non-respect des recommandations CNIL n'est pas directement sanctionné — la délibération a valeur de recommandation. En revanche, en cas de fuite de données avec mots de passe en clair ou hachés trop faiblement, la CNIL applique le RGPD :
- Amendes allant jusqu'à 4 % du chiffre d'affaires mondial ou 20 M€.
- Mise en demeure publique.
- Obligation de notification aux personnes concernées (article 34 RGPD).
Récapitulatif pour développeurs
- Imposer 12 caractères minimum avec 4 types (cas 1).
- Ne pas exiger de renouvellement périodique aux utilisateurs standards.
- Hasher avec Argon2id (paramètres OWASP).
- Salt ≥ 16 octets unique par utilisateur.
- Limiter les tentatives (rate limiting + temporisation).
- Vérifier les mots de passe choisis contre la liste Have I Been Pwned.
- Proposer la 2FA, surtout sur les comptes sensibles.