Vidéo: Technical Webinar: Getting to Know the FIDO Specifications (Novembre 2024)
L'ère du mot de passe serait-elle derrière nous? C’est ce que prévoyait Michael Barrett, responsable de la sécurité chez PayPal, lors de l’une des conférences les plus intéressantes du salon Interop de cette semaine à Las Vegas.
Barrett a déclaré que les mots de passe étaient largement utilisés depuis 1961, mais la prédominance des services de cloud computing nous a laissé trop de sites nécessitant des mots de passe. Les gens ont trop de mots de passe et sont donc frustrés. En conséquence, il a déclaré: "Les mots de passe commencent à nous manquer."
Lorsqu'ils sont laissés à leurs propres appareils, les utilisateurs choisiront des mots de passe médiocres et les utiliseront partout. Cela signifie que la sécurité de leur compte le plus important est réduite à celle de l'endroit le moins sécurisé où ils utilisent ce mot de passe. Entre-temps, la disponibilité d’une puissance de traitement peu coûteuse dans le nuage, y compris les GPU, a facilité la tâche des utilisateurs pour déchiffrer les mots de passe hachés.
Une alternative - des systèmes à deux facteurs avec des clés de mots de passe - a-t-il déclaré est "le rêve d'un régulateur, mais le cauchemar d'un utilisateur", chaque site pouvant disposer de son propre système de jetons sécurisé.
En conséquence, nous avons besoin de quelque chose d'autre et c'est là que l'Alliance FIDO entre en jeu. Les utilisateurs veulent quelque chose qui est à la fois sécurisé et facile, a déclaré Barrett. Toute solution doit fournir une authentification plus forte mais doit être plus facile à utiliser, tout en respectant la vie privée des personnes.
L'alliance existe depuis plus de deux ans et les premières solutions de ce type sont sur le point d'être lancées.
Avec le modèle actuel, les mots de passe sont entrés sur un périphérique, puis transmis au périphérique par le biais du périphérique. Dans le modèle FIDO, les utilisateurs s'authentifient auprès d'un petit nombre de périphériques et s'identifient plutôt auprès de leur périphérique. Une pile FIDO sur un périphérique sait alors comment s'authentifier auprès du service. Les informations relatives à la connexion peuvent être stockées dans la puce TPM sur un PC ou dans un conteneur sécurisé sur un smartphone.
Pour vous authentifier avec le périphérique, vous pouvez utiliser une empreinte digitale. Barrett a suggéré qu'Apple sortirait avec un lecteur d'empreintes digitales sur un smartphone plus tard cette année, suivi prochainement par les appareils Android. Les appareils peuvent également utiliser la "biométrie vocale" (empreinte vocale), la reconnaissance des yeux ou la reconnaissance faciale. Les sites individuels peuvent demander un ou plusieurs de ces signifiants qu'ils souhaitent accepter.
Pour que ce plan fonctionne, il faut que les deux périphériques prennent en charge la norme et les services qui acceptent l'authentification FIDO. Barrett a déclaré que PayPal est en train de devenir compatible FIDO. Une fois qu'un site est activé, s'il existe un client FIDO, il est utilisé. sinon, il sera ignoré.
Même s'il pense que les mots de passe s'épuisent, Barrett a reconnu qu'il faudra plusieurs années avant que nous commencions à voir une véritable adoption massive. Les chances sont seulement "50/50 si nous pouvons retirer ceci", at-il dit.
Mais étant donné le nombre de piratages de mots de passe que nous continuons de lire et les frustrations que nous rencontrons tous avec nos mots de passe actuels, force est de constater que beaucoup d’entre nous veulent quelque chose de mieux.
