Aujourd’hui je tombe sur un tweet d’un ancien collègue qui partage un article de 20min au nom aguicheur : “Internet: Vers la fin des mots de passe ?” . Et comme il faut s’y attendre, c’est beaucoup de bullshit, de merde, de non sens sepoudré d’incompétence et d’inexpérience crasse. Florilège …
Devenu une source d’exaspération pour les utilisateurs (non seulement il faut trouver des mots de passe complexes et différents pour chaque site, mais en changer régulièrement), le mot de passe n’est plus suffisant aujourd’hui.Premier paragraphe & déjà 2 choses à dire. NON un mot de passe ce n’est pas compliqué à trouvé, ce n’est pas chiant, il y a des outils pour cela comme LastPassword qui est gratuit, multi-plateforme et multi-browser et qui va non seulement générer des mots de passe fort (et sécurisé) mais aussi les stocker pour vous, de manière sécurisée & cryptée, et vous permettre de les utiliser en toute simplicité. Non le mot de passe est suffisant, ce qui ne l’est pas, c’est les pratiques et procédures de sécurité employées par les entreprises sus-cité, qui de plus ne semblent pas du tout former leur personnels à la sécurité. Car oui la sécurité n’est pas une solution clé en main , c’est un process.
Utilisation du mobile à la place du mot de passe
Les solutions les plus farfelues existent, mais là on parle surtout de token unique généré sur le téléphone comme réponse au “les gens ne veulent pas s’identifier en deux fois” . C’est vrai que s’identifier uniquement avec un téléphone ca ouvre à :
- Le piratage via des applications malicieuses sur le téléphone, terminal peu protégé et vulnérable
- Le vol du téléphone, entrenant l’impossibilité d’accéder au service mais aussi permettant au voleur d’accéder au service. Pas de mot de passe en plus d’un token unique oblige
- L’impossibilité de se connecter si ton téléphone n’as plus de batterie, si tu ne l’as pas sur toi, potentiellement s’il ne capte pas (oui car je doute que le truc soit bien fait, venant d’une banque française … déja que les banques Luxembourgeoises oublient l’authentification en 2 étapes …)
Une clé
On parle donc d’une authentification physique, mais ne necessitant pas de code. Déjà que Verisign se fait pirater son système de stockage “invulnérable” de certificat basé sur le même modèle, là on se passe complétement du mot de passe. La clé pouvant être utilisé partout, on ne peut meme pas garantir un couple clé / machine … Quel interet donc ?
Un code visuel
On parle ici du code de déverrouillage d’android donc . Le truc qui à la place de 10^n combinaison ou n est le nombre de chiffre d’un code PIN, on ne peut utiliser 2 fois le meme noeud et on ne peut lier que des noeud contigus ? Ou alors du “smile to unlock” qui fait le plus de faux négatif de l’histoire des tests dans quelque domaine qu’il soit ?
Une phrase récité à haute voix
Avec toutes les possibilités de nos jours d’écouter, d’enregistrer, à votre insue vos conversations, avez vous VRAIMENT envie de cela ? Genre c’est plus sécurisé qu’un mot de passe connu de vous seul ?
La biométrie
Cf “un code visuel” , sans parler qu’on sait maintenant tromper tout les systèmes d’analyse biométrique existant. Reconaissance de visage, de l’iris, des empreintes digitales.
Un geste
C’est encore la seule idée fiable que je trouve dans le lot, cependant cela implique :
- un périphérique d’entrée utilisateur tactile, potentiellement multi-entrée (multi-touch)
- avoir le même mot de passe pour tout, et que ca soit reconnu par l’os, qui gere ensuite un mot de passe par application / site, donc en fait … oh ba oui un gestionnaire de mot de passe comme cela existe déjà aujourd’hui tiens non ?
Votre facon de taper
Là je crois qu’on touche le fond. Reconnaitre la facon de taper d’un utilisateur va necessiter une masse d’échantillonage tellement important qu’il y a de grandes chances pour que l’utilisateur ai accès à des informations avant meme de pouvoir être reconnu comme utilisateur valide ou non . Dans le cas où on pense limiter l’utilisateur à un taux suffisant, cela revient à demander à l’utilisateur de taper du texte dans le vide avant d’accéder à son contenu ? Et c’est moins frustrant que ce rappeler un mot de passe ? ou d’utiliser un logiciel de gestion de mot de passe ? Vraiment ?
Voila donc en somme merci à Anaelle Grondin pour son article qui à le mérite de passer en revue tout ce qui existe actuellement pour gérer votre mot de passe et qy’il ne faut pas utiliser, à tout pris, jamais.
Comments