|
|
Google cherche à se passer des mots de passe Le mot de passe ne protège plus aussi bien qu'avant. C'est l'avis de Eric Grosse, vice-président de Google en charge des sujets de sécurité informatique, et Mayak Upadhyay, ingénieur. Les deux hommes travaillent à l'élaboration d'un nouveau protocole de sécurité, qui s'ajouterait à la protection du mot de passe, voire le remplacerait.
La double authentification Le géant de la recherche en ligne a d'abord mis en place la double authentification. En plus du mot de passe, l'usager doit renseigner un code de sécurité de quelques chiffres, généré aléatoirement et qui demeure valide pendant quelques secondes. Si le code est rentré trop tard, il faudra en taper un nouveau. Et là encore, le code ne marchera que pendant un temps très court. L'outil permet de s'assurer que la personne qui cherche à accéder au compte est bien celle qui en est le titulaire, même si son mot de passe est compromis. En effet, une deuxième protection est en place et ne peut être contournée que si le smartphone de la victime est aussi compromis ou si le SMS contenant le code de sécurité est intercepté à temps. Avec la double authentification, le piratage d'un compte Google devient particulièrement difficile car l'assaillant doit réunir deux informations, dont l'une a une durée de vie très courte. Plusieurs sociétés proposent la double authentification pour sécuriser l'accès à leurs services. C'est le cas par exemple de Dropbox, Blizzard (World of Warcraft, Diablo 3, Starcraft 2) ou d'ArenaNet (Guild Wars 2). S'authentifier via un objet tiers La double authentification n'est peut-être pas parfaite (le mobile contenant l'application générant les codes de sécurité peut être volé, une fois le mot de passe dérobé), mais il réduit le risque et sécurisé beaucoup mieux un compte qu'un mot de passe seul. Mais cela ne semble pas suffire à à Eric Grosse, vice-président du groupe chargé des sujets de sécurité informatique, et Mayak Upadhyay, ingénieur. Dans un futur article qui sera publié dans le journal spécialisé IEEE Security & Privacy, mais dont Wired a pu en consulter le contenu, les deux hommes considèrent que "les mots de passe et les jetons d'identification comme les cookies ne sont plus suffisants pour assurer la sécurité des utilisateurs". Ce sentiment serait partagé par beaucoup d'informaticiens, ajoutent les deux spécialistes. Plutôt que de s'en remettre aux mots de passe, aussi solides soient-ils, les deux ingénieurs souhaitent mettre à profit les dispositifs nomades pour s'authentifier. Qu'il s'agisse d'un smartphone, d'une petite carte à puce cryptée ou d'une bague qui intégrerait elle aussi une puce, l'idée serait de s'en servir comme d'une clé de voiture. Il suffirait alors de brancher l'objet via un port USB par exemple. En cas de vol ou de perte ? L'idée est séduisante mais soulève quelques interrogations : si l'authentification se déroule via un dispositif externe, que se passe-t-il si celui-ci est perdu ? Il faut qu'une procédure existe pour signaler la perte du terminal, de la bague ou de la carte afin de verrouiller l'accès. Pour l'heure, les deux hommes travaillent à l'élaboration du protocole : mais ce cas de figure devra absolument être pris en compte. Ces dispositifs remplaceront-ils vraiment le mot de passe ? Ce n'est peut-être pas ainsi que le problème doit être posé. Ces nouvelles protections sont vraisemblablement plus intéressantes en les associant à d'autres mécanismes de sécurité, comme la double authentification. La clé USB Yubico s'inscrit dans cette logique, en se substituant à l'une des deux étapes de la double authentification. La reconnaissance par la biométrie est également un terrain sur lequel beaucoup d'entreprises se sont déjà engagées. En prenant les empreintes digitales, en effectuant la reconnaissance du visage ou en procédant à l'analyse de l'iris, ce ne sont pas les techniques qui manquent. Mais celles-ci soulèvent des problématiques de bioéthique et de protection de l'identité très compliquées. à lire aussi
  Prix indiqués avec livraison
15
Commentaires à propos de «Google cherche à se passer des mots de passe»
On peut aussi avoir des clés RSA SerurID comme pour les VPN. De toutes les façons, la sécurité absolue n'existe pas.
Pour voler une voiture maintenant, il y a le homejacking. Et pour les empreintes digitales, le sécateur fonctionne bien. Après, il faut voir quels sont les données à protéger, avant de mettre en place un système qui va faire chier tout le monde. En ce qui concerne les téléphones, le problème, c'est qu'on sait depuis longtemps qu'ils ne sont pas sécurisés, qu'on peut savoir ce qu'il y a sur un téléphone qui se trouve à 1000km, et qu'on sait que des chevaux de Troie peuvent être installés sur des smartphones, cette voie semble de plus en plus compromise. Moi, j'utilise une fonction simple, à chaque essai de connexion sur un compte, je met un sleep qui double à chaque essai, au bout de 8 essais, il faut déjà attendre 4 minutes avant de ressayer, ta brute force, tu peux la ranger. 
Laisse tomber le sécateur... en fonction de la techno, il est parfaitement inutile.
Après, le pb de Gogole, ça va être les moyens techniques et financiers à mettre en œuvre, pour l'inernaute. Les solutions existent dans le monde pro. Mais sont-elles adaptées à l'internaute, ceux qu'on nomme les "Michus" ?  
le secateur ne fonctionne pas ,car les capteurs biometriques regardent l'afflux sanguin. J'ai déja essayé
L'empreinte veineuse est une technologie assez récente, les capteurs biométriques regarde l'empreinte digitale
Les Mythbusters aussi...
http://www.myvideo.d...ingerprint_Lock Ca dépend certainement de la serrure. EDIT : ce message est une réponse à yoyoz. Désolé NeoBurner. [message édité par SyntheM le 19/01/2013 à 18:02
]
ah, oui effectivement,contourner la protection avec juste une photocopie, c 'est plus que navrant...
Un système d'identification unique sous la dépendance de Google ? Ca ne gêne personne ça ?
Outre la sécurité qui, à mon avis, fonctionne tout aussi bien avec un mot de passe, cela permettra surtout à Google de connaître toutes nos séances d'identification sur Internet même si cela ne les concerne pas le moins du monde. VADE RETRO SATANAS ! 
"Un [...] article [...] dont Wired a pu en consulter le contenu".
Cela vous dérangerait beaucoup d'écrire en bon français ?
Sur le fond, cette préoccupation de Google reste stupide, à croire que ces gens-là veulent faire notre bonheur malgré nous. Des bolcheviks ?
C'est à l'utilisateur de prendre ses précautions s'il veut protéger ses données et sa vie privée. Imaginez que les marchands de serrures décident de vous obliger à poser sur votre porte une serrure de sécurité... 
Et bien moi j'en ai ras le cul de voir Youtube essayer de m'imposer de mettre mon vrai nom à chaque fois que je poste un commentaire !!!
Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
A LA UNE
LES + COMMENTÉS
 2 offres à partir de 599 €
Télécharger
bittorrent emule island,
gta,
emule island,
firefox,
nokia pc suite,
ssc service utility,
gnutella emule island,
subtitle workshop,
Accès rapide :
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
|
Le mot de passe a-t-il un avenir en informatique ? Seul, il paraît de moins en moins apte à fournir une protection suffisante pour l'internaute, même si ce dernier en choisit un qui respecte scrupuleusement 
Logique infaillible.