La CNIL déconseille le renouvellement trop fréquent des mots de passe

Pour des raisons de sécurité, de nombreuses entreprises forcent leurs salariés à renouveler régulièrement leurs mots de passe. Cette pratique, conseillée également par certains experts en cybersécurité, peut s’avérer, dans la pratique, contre-productive.

C’est le principal message de la mise à jour de la recommandation de la CNIL sur les mots de passe, publiée ce 17 octobre 2022. L’autorité y estime que, en l’absence de menace avérée, multiplier ces renouvellements conduit à de mauvaises pratiques.

Un internaute peut ainsi opter pour un mot de passe qu’il utilise sur un autre compte, ne changer qu’à peine son code (si bien qu’un pirate disposant du mot de passe précédent identifiera le nouveau sans difficulté), ou, pire, noter tous ses mots de passe sur une feuille de papier ou une page de traitement de texte.

Ces renouvellements incessants augmentent également le stress des utilisateurs. « Les bénéfices en termes de sécurité sont ainsi mineurs et largement contrebalancés par l’expérience utilisateur négative », synthétise la CNIL.

La CNIL fait, bien évidemment, une exception pour les situations de piratage potentiel ou avéré, ou pour les mots de passe par défaut : dans ces cas, opter pour un nouveau mot de passe fort est indispensable. Le renouvellement régulier reste également nécessaire pour les comptes ayant de privilèges étendus, comme les administrateurs.