L’industrie de la technologie veut tuer le mot de passe. Ou le fait-il?

Certaines personnes n’arrêtent pas de parler de la mort du mot de passe. Les mots de passe sont anciens, non sécurisés et facilement divulgués. Bientôt, nous utiliserons tous la biométrie, les clés de sécurité matérielles et d’autres solutions futuristes, n’est-ce pas? Eh bien, pas si vite.

Nous avons parlé à 1Mots de passe le chef de la sécurité, Jeffery Goldberg, qui a déclaré qu’il était, « prudemment optimiste que cette fois, nous pourrions voir une dent dans le problème de mot de passe. »

C’est la vision optimiste – et c’est loin d’être la mort des mots de passe.

Pourquoi les gens veulent tuer le mot de passe

Lors de la discussion de l’objectif de l’entreprise de «Construire un monde sans mots de passe,”En mai 2018, l’équipe de sécurité de Microsoft a écrit:

«Personne n’aime les mots de passe. Ils sont peu pratiques, peu sûrs et coûteux. En fait, nous les détestons tellement que nous avons été occupés au travail à essayer de créer un monde sans eux – un monde sans mot de passe. « 

Les mots de passe sont devenus de plus en plus ennuyeux avec le temps et nous sommes tous devenus conscients des risques liés à leur réutilisation. Si vous utilisez le même mot de passe sur plusieurs sites et qu’il y a une fuite de mot de passe, le vôtre peut être utilisé pour accéder à votre compte sur un autre site Web. Vous devez donc choisir un mot de passe fort et unique pour chaque service que vous utilisez. Il est révolu le temps de réutiliser un mot de passe court et simple sur une poignée de sites Web.

Pour la plupart des gens qui n’ont pas de souvenirs surhumains, il est impossible de se souvenir d’un mot de passe fort et unique pour chaque compte en ligne. C’est pourquoi nous recommandons les gestionnaires de mots de passe: ils se souviennent de tous ces mots de passe forts et uniques pour vous. Il vous suffit de vous souvenir de votre mot de passe principal, ce qui est beaucoup plus facile que de se souvenir de 100, et beaucoup plus sûr que de réutiliser le même.

Même avec un gestionnaire de mots de passe, ce n’est pas complètement sécurisé. Quelqu’un avec un enregistreur de frappe sur votre système pourrait capturer votre mot de passe et se connecter en tant que vous. C’est pourquoi les services ajoutent une sécurité supplémentaire. Nous tapons souvent un mot de passe et devons ensuite nous authentifier une seconde fois avec un code ou une clé.

Y a-t-il un meilleur moyen?

Qu’est-ce qui pourrait remplacer le mot de passe?

Une clé de sécurité USB physique Yubikey branchée sur le port USB d'un ordinateur portable.

Goldberg a déclaré avoir vu «plan après plan» proposé de supprimer les mots de passe au cours des vingt dernières années – dont beaucoup n’ont pas appris de ce qui avait échoué dans le passé. Mais les plus récents pourraient avoir de meilleures chances de réussir en raison d’avancées telles que des appareils locaux plus puissants.

La biométrie peut remplacer un mot de passe. Vous pouvez utiliser Touch ou Face ID (biométrie) pour vous connecter à votre iPhone au lieu de saisir un code PIN. Les téléphones Android ont également des fonctionnalités d’empreinte digitale et de connexion faciale.

En relation :  Comment migrer de LastPass vers un autre gestionnaire de mots de passe

Vous pouvez également créer des comptes Microsoft «sans mot de passe» pour vous connecter à Windows. Votre nom d’utilisateur est votre numéro de téléphone et le «mot de passe» que vous saisissez est un code envoyé à votre numéro de téléphone par SMS.

Vous pouvez également utiliser une clé de sécurité physique au lieu d’un mot de passe pour authentifier vos comptes en ligne. Vous gardez la clé avec vous (vous pouvez même la garder sur votre trousseau) et l’utiliser via USB, NFC ou Bluetooth lorsqu’il est temps de vous connecter.

Les téléphones peuvent également remplacer les mots de passe. Google permet désormais aux appareils Android de fonctionner comme des touches FIDO2. Vous devrez peut-être également vous authentifier avec une empreinte digitale sur votre téléphone lorsque vous vous connectez à un site Web sur votre ordinateur portable.

De nombreuses entreprises tentent de réduire le recours aux mots de passe en proposant des fournisseurs de «connexion unique». C’est à ce moment-là que vous vous connectez à Facebook, Google, etc., puis que vous utilisez ce compte pour vous connecter à d’autres services. Aucun mot de passe supplémentaire n’est nécessaire.

Les «remplacements» de mot de passe ne remplacent pas les mots de passe

Un écran de code d'accès de l'appareil.

Il y a cependant un gros problème ici. Les technologies présentées comme des «remplacements» de mots de passe ne sont pas en fait des remplacements, du moins pas encore.

La biométrie, comme Face ou Touch ID, nécessite toujours un mot de passe et un mot de passe Apple ID sur votre appareil. Certaines tâches nécessitent également un code PIN à des fins de cryptage en arrière-plan. Les fonctionnalités biométriques sur Android et Windows Hello sur Windows 10 fonctionnent de la même manière, essentiellement comme une fonctionnalité pratique. Il est plus facile de vous connecter à votre appareil car vous n’avez pas à saisir de mot de passe à chaque fois, mais ce n’est pas le cas remplacer votre mot de passe.

Un compte sans mot de passe qui vous envoie des codes de téléphone n’est pas non plus génial. Plutôt qu’un mot de passe pour votre compte, ce service en génère un nouveau à chaque fois que vous essayez de vous connecter et vous l’envoie par SMS. C’est moins sûr que la méthode traditionnelle d’un mot de passe unique plus un code de sécurité qui vous est envoyé lorsque vous vous connectez.

Malheureusement, les attaquants volent facilement des numéros de téléphone dans de nombreuses situations, ce qui rend cela moins sécurisé. C’est une excellente méthode pour atteindre les gens dans les pays où les numéros de téléphone sont omniprésents, et cela réduit les frictions liées à la création d’un compte, c’est pourquoi Amazon propose également cela. Mais ce n’est pas une bonne solution pour remplacer les mots de passe.

La plupart des services qui ont adopté des clés de sécurité physiques les utilisent comme option d’authentification supplémentaire. Vous vous connectez toujours avec votre mot de passe, puis vous fournissez la clé de sécurité comme confirmation secondaire pour entrer. La possibilité d’utiliser une clé sans mot de passe est encore loin.

En relation :  Comment coller plusieurs éléments avec des raccourcis clavier attribuables sous Windows 10

Il existe également un problème de confidentialité avec les services d’authentification unique. Lorsque vous cliquez sur «Se connecter avec Google» ou «Se connecter avec Facebook», l’opérateur de services (Google ou Facebook) sait à quoi vous vous connectez.

Il y aura toujours des mots de passe (en arrière-plan)

Même si le rêve de Google de remplacer les mots de passe par des téléphones se concrétise, il n’éliminera pas le mot de passe. Le bord a résumé les plans de Google de cette façon: « Si vous êtes déjà connecté à votre téléphone, cela peut être utilisé pour » amorcer « le prochain appareil auquel vous souhaitez vous connecter à votre compte Google. »

Vous éviterez peut-être d’utiliser votre mot de passe pendant longtemps, mais il est toujours là en arrière-plan. Après tout, vous en aurez besoin si vous perdez tous vos appareils.

Les mots de passe sont encore répandus. Ils sont faciles à installer et à utiliser. Les «remplacements» de mot de passe offrent plus de commodité ou une sécurité supplémentaire. Mais vous aurez toujours besoin d’un moyen de récupérer l’accès si vous perdez votre appareil et que vous ne pouvez pas utiliser votre biométrie ou votre sécurité matérielle.

«Je pense qu’il y aura toujours des cas extrêmes qui nécessitent des mots de passe», a déclaré le directeur de l’exploitation de 1Password, Matt Davey. Par exemple, Se connecter avec Apple dans iOS 13 propose une option de connexion Web qui utilise le mot de passe de votre identifiant Apple lorsque vous vous connectez sur un appareil non Apple. Un mot de passe fonctionne partout et est la valeur par défaut universelle lorsque la biométrie sophistiquée ou les fonctionnalités de sécurité matérielle ne sont pas disponibles.

Comme l’a dit Goldberg, «les mots de passe sont vraiment très faciles à mettre en œuvre pour les sites Web. «C’est toujours la chose la plus simple à utiliser pour les opérateurs de services.»

C’est pourquoi 1Password est optimiste quant à l’avenir des gestionnaires de mots de passe. La société a déclaré qu’elle avait vu plus de nouveaux utilisateurs alors même que la concurrence se développait et que des entreprises comme Apple, Google et Mozilla se préoccupaient de plus en plus de la gestion des mots de passe.

Que réserve l’avenir?

Le rêve de tuer le mot de passe est loin. Même si le processus se déroule bien, le meilleur des cas est que nous avancerons lentement, avec des alternatives plus faciles aux mots de passe.

Un jour, les mots de passe pourraient être tellement relégués à l’arrière-plan qu’ils deviendraient une méthode de récupération de compte longtemps oubliée. Mais ils seront probablement là pendant longtemps. La bataille pour les bannir de leur utilisation quotidienne pour la majorité des gens sera longue et acharnée. Mais tuer complètement les mots de passe? C’est encore plus difficile à imaginer.

Moyens Staff
Moyens I/O Staff vous a motivé, donner des conseils sur la technologie, le développement personnel, le style de vie et des stratégies qui vous aider.