Tours de passe-passe pour se passer des mots de passe

Tours de passe-passe pour se passer des mots de passe

Le début de la fin?

Mot de passe

C'est le fantasme de tous les grands de l'informatique et du web: en finir avec les mots de passe.

En effet, ils sont le cauchemar des employés, les mots de passe. S'il n'y en avait qu'un ou deux, pas de souci, mais selon le site Trulioo, spécialisé dans les services d'identification en ligne, l'employé d'une entreprise de taille moyenne utiliserait près de 200 mots de passe au cours de sa carrière, la plupart simultanément.

Google avait d'ailleurs promis, en mai 2016 déjà, d'en finir avec les mots de passe via sa technologie Trust API; mais cette promesse ne s'était pas concrétisée.

La fin des mots de passe, on n'y est pas encore. Il va donc falloir encore quelques tours de passe-passe pour pouvoir définitivement s'en passer…

En attendant la fin

Coffre

Nul doute que les jours des mots de passe sont comptés, mais en attendant, comment faire pour ne pas trop se prendre la tête? Car même si les solutions pour faire fi des mots de passe pointent à l'horizon, cela prendra du temps avant qu'elles soient implémentées effectivement en entreprise et adoptées par tous les logiciels courants…

A moins d'avoir une mémoire d'éléphant, c'est en effet mission impossible de retenir tous ses mots de passe à l'heure actuelle sans céder à la tentation d'opter pour des mots de passe simples voire simplistes, du genre '123456' ou 'abc123' qui figurent dans le top 10 des pires exemples du genre.

Transformer une phrase simple en mot de passe complexe (en ne retenant que les premières lettres et les signes de ponctuation) ou utiliser un manager de mots de passe semblent être les deux options les plus raisonnables à l'heure actuelle.

En savoir plus sur les mots de passe complexes et les managers de passwords.

Sauf que…

Quelle que soit sa complexité, le mot de passe est craquable en deux temps et trois clics de souris par n'importe quel hacker amateur. C'est ce qu'a prouvé Bill Burr, du National Institute of Standards and Technology, basé à Gaithersburg (Maryland, USA).

Bill Burr suggère plutôt d'opter pour une passphrase. Il ne s'agit ici pas de transformer une phrase simple en mot de passe, mais d'utiliser une combinaison de mots ou une phrase dans son intégralité comme mot de passe; car plus le mot de passe est long, plus il est difficile à craquer.

Exemples: AnticonstitutionnellementEstUnLongMot ou GenèveCardonGrenatCalvin

En savoir plus sur les passphrases.

WebAuthn & Co

Début 2018, c'est Microsoft qui a à son tour annoncé la fin des mots de passe, avec une solution basée sur la technologie blockchain. Son app d'authentification sera compatible avec l'AD Azure et implémentable dans un délai raisonnable en entreprise.

Mais c'est surtout WebAuthn qui fait le plus parler de lui, par son côté rassembleur.

Identité

WebAuthn est l'abréviation de Web Authentification, une API (interface de programmation) qui a pour but de faciliter l'authentification des utilisateurs sur le web via les navigateurs Firefox, Chrome, Edge, Safari, etc. Microsoft et Google coopèrent donc avec la Mozilla Foundation et son navigateur Firefox pour la bonne cause, ainsi qu'avec d'autres grands protagonistes comme Apple et les géants du paiement que sont Visa, Mastercard et PayPal.

Derrière cette alliance se trouve le W3C (World Wide Web Consortium) et la FIDO Alliance (FIDO: Fast Identity Online), dont le but est l'adoption au niveau mondial de cette API d'authentification, une API qui est dans l'intérêt de tous les protagonistes de l'ère du cloud et de l'hyper-connectivité, puisqu'elle permet de s'authentifier sur le web sans username ni password.

Sécurité

WebAuthn permet de combiner software, hardware et biométrie, et surtout de faire le lien entre les clés privées et publiques d'authentification en toute sécurité, via des techniques cryptographiques complexes, tout en restant simple d'utilisation pour les utilisateurs.

En savoir plus sur le fonctionnement de WebAuthn.

Nul doute que ce qui sonnera le glas des mots de passe, à terme, ne sera pas un seul élément, mais une combinaison pertinente de plusieurs éléments d'authentification, issus de la biométrie (yeux, doigts, face, ADN), de notre mémoire, de notre smartphone et/ou d'un éventuel gadget technologique générant un code supplémentaire en temps réel.

Autres actualités

Ce site utilise des cookies à des fins de statistiques, d’optimisation et de marketing ciblé. En poursuivant votre visite sur cette page, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus. En savoir plus.