Internet : la fin des mots de passe pour bientôt ?

[politicien]

Bonjour,

Qui n’a jamais maudit un mot de passe oublié ? Qui n’a jamais pesté contre les séries interminables de chiffres et de lettres que l’on doit égrener à longueur de journée pour accéder à ses comptes, son courrier, ses abonnements…. D’autant que ces mots de passe sont de moins en moins sécurisés… Ce qui nous oblige à les compliquer et à les multiplier …

L’année dernière, par exemple, LinkedIn annonçait avoir été victime d’un vol de mots de passe . En tout, 6,4 millions de codes d’accès avaient ainsi été publiés sur un forum russe après qu’un des fichiers de la base de données du réseau social professionnel américain ait été piraté. Une mésaventure dont Twitter avait déjà été victime et qui nous a rappelé que le choix d’un seul mot de passe permettant l’accès à de nombreux sites internet n’est pas sans danger. En moyenne, un internaute possède 6,5 mots de passe, selon , tandis que pour la société de conseil Deloitte , plus de 90% des mots de passe générés par les utilisateurs sont « vulnérables au piratage ».
La biométrie mais pas seulement

Mais bonne nouvelle : les codes d’accès pourraient bientôt tomber aux oubliettes, indique un article du Time Business & Money . Un consortium d’entreprises de technologies, comprenant PayPal et Google, a en effet décidé de s’associer pour réfléchir à l’avenir des mots de passe. Et cet avenir passerait… par un abandon pur et simple de tous ces codes, affirme ce consortium baptisé FIDO Alliance.

« Les mots de passe ne fonctionnent pas suffisamment », constate Michael Barrett, responsable de la sécurité chez PayPal et président de FIDO. Pire, « ils commencent à entraver le développement du Web ». Et d’expliquer que pour l’instant, l’inflation des mots de passe ne pose pas de réels problèmes aux entreprises qui ont les moyens d’investir dans des systèmes de sécurité robustes. Mais il se pourrait bien que cette prolifération ait un impact sur la confiance des consommateurs dans le commerce en ligne, ce qui aurait de lourdes conséquences sur de nombreux secteurs industriels.

Alors que préconise FIDO ? Plutôt que de trouver une alternative aux mots de passe, le consortium préfère travailler à un cadre technologique. Selon Michael Barrett, la solution existe déjà sur certains ordinateurs et téléphones « intelligents », formatés pour reconnaître chaque individu via ses particularités physiques uniques. De fait, explique-t-il, la résolution des caméras sur ordinateurs et téléphones est assez avancée pour que l’on puisse reconnaître qui vous êtes en scannant votre visage ou vos yeux. Selon lui, des smartphones intégrant des scanners d’empreintes digitales pourraient tout à fait être mis sur le marché.

(...)

L'intégralité de cet article à lire sur Les Echos.fr

Qu'en pensez vous ?

[Pascale]

Interdiction de faire de la chirurgie esthétique alors.

[Florian]

Cà existe déjà sur certains laptop. Je n'utilise pas sur le mien, mais il a un lecteur d'empreinte digitale.

[Nombrilist]

C'est sans doute l'avenir, mais ce n'est pas pour demain.

[Florian]

C'est sans doute l'avenir, mais ce n'est pas pour demain.

iPhone 6 ou Galaxy 5 ?

[El Fredo]

L'avenir c'est les One Time Password avec authentification physique (téléphone mobile par exemple). Pour le VPN du boulot on a un "safe token" virtuel qui génère un code à 6 chiffres pseudo-aléatoire à partir d'un code PIN à 4 chiffres.

Les techniques visuelles sont intéressantes elles aussi, par exemple le lock screen d'Android qui nécessite de dessiner un motif sur une grille 3x3.

[artragis]

entre les smardcard (virtuelles ou non), les empruntes digitales (j'ai un lecteur sur mon PC) etc. On aurait pu y passer il y a longtemps. Le seul problème c'est que ça ne résoud pas grand chose. Le principe de la sécurité, c'est de protéger suffisamment longtemps pour que le piratage ne soit pas rentable. Corollaire à ça, il n'y a pas de système vraiment sécurisé.
Maintenant, en tant que développeur, je sais très bien qu'il est très facile de mettre une authentification fb/twitter/google/live voire OpenID (quand on a les moyen...).
Seul problème, c'est que le spectre du "1 mdp = 1 seul compte à craquer" inquiète plus que la perte de mot de passe.
Pour ma part, j'utilise des "schémas" pour mes mots de passe. qui sont vraiment "impossibles" à trouver. Mais bon, peut être que les One Time seront mieux, même si ça m'embêterai quand même, je trouve que ça ralentit tout quand je suis sur google et qu'il me met ça.

[El Fredo]

Pour gagner du temps il faut généraliser les "Single Sign On" (SSO) du type OpenID ou OAuth, mais avec identification sécurisée type OTP. L'avantage est qu'on conserve son identité numérique sur plusieurs sites, ce qui est intéressant dans une optique Cloud. Mais pour éviter les problèmes de sécurité dus au mot de passe unique, on met en place un OTP lors de l'authentification sur le SSO. C'est un peu comme ça que fonctionnent de nombreux réseaux d'entreprises.

Pour l'OTP je pense à un système simple du type :

- on alloue à chaque utilisateur un identifiant unique et un mot de passe ou un PIN à 4 chiffres ou plus.
- lors de l'authentification le site présente un challenge sous forme de QRCode
- l'utilisateur scanne le QRCode avec son smartphone et obtient en retour l'OTP
- il saisit l'OTP sur le site et est identifié


Ainsi pour s'identifier il faut avoir accès au smartphone et connaitre le PIN. Si on accède aux sites à partir de son smartphone ça peut même être semi-automatisé (le smartphone scanne automatiquement le QRCoe challenge et lance l'appli d'authentification).

[Nico37]

En effet méthode béton, je l'ai utilisé pour faire des virements bancaires, comme il y un compte à rebours serré pour réaliser chaque opération, c'est parfait... Et ça ne stocke aucune donnée personnelle de l'utilisateur contrairement aux empreintes digitales ou pire biométrique (et pourquoi pas ADN :)...