Dans sa délibération n°2017-190 en date du 22 juin 2017, la CNIL considère que les mots de passe ne doivent jamais être stockés en clair. Elle recommande que tout mot de passe utile à la vérification de l’authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé. A quel principe de cybersécurité peut-on associer cette recommandation de la CNIL relative au stockage des mots de passe ?
[A] Séparation des tâches (segregation of duties)
[B] Besoin d’en connaître (need to know)
[C] Moindre privilège (least privilege)
[D] Défense en profondeur (defense in depth)
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE