Rsa: plus de mots de passe, jamais?

Google a déclaré la guerre aux mots de passe, mais Alisdair Faulkner, chef des produits et cofondateur de ThreatMetrix, pense qu'ils mènent la mauvaise guerre. "L'idée est louable", a déclaré Faulkner. "De fait, la plupart des gens utilisent le même mot de passe simple encore et encore. Google propose un authentifiant physique. Le problème est que tout type de système à deux facteurs doit être adopté à la fois par les sites et par les utilisateurs. Et si vous perdez votre authentifiant, quoi alors? " Il a également souligné le problème de l'authentification d'un utilisateur lors de la première inscription.

ThreatMetrix propose une solution différente, qui ne nécessite aucun effort de la part de l'utilisateur. "Nous (et beaucoup d’autres) pensons que nous devons faire de la sécurité une partie intégrante de chaque opération", a déclaré Faulkner. "Cela doit être passif et non intrusif. La combinaison de vos comportements et de vos appareils à travers de nombreuses interactions peut servir à vous identifier, et uniquement à vous."

Comportement déviant

Les banques identifient les transactions suspectes en notant les écarts par rapport aux modèles normaux. ThreatMetrix applique le même type de logique à l'authentification en ligne. Ils ne savent pas nécessairement quoi que ce soit sur vous personnellement, mais ils savent, par exemple, qu'un compte de messagerie particulier se connecte normalement à partir de trois appareils particuliers, généralement en Californie. Si ce compte commence soudainement à se connecter plusieurs fois à la fois, à partir de périphériques inconnus, peut-être en Chine, c'est un drapeau rouge.

"Les banques, les sites de commerce électronique et certaines des plus grandes entreprises de technologie utilisent ThreatMetrix", a déclaré Faulkner. "Ils surveillent les signes de prise de contrôle de compte et de fraude par carte de crédit et l'utilisent pour valider une nouvelle inscription." Il a souligné que la société recherchait strictement des modèles de données, et non des informations personnelles.

Où tout le monde connaît votre nom

Cela a beaucoup de sens pour moi. Lorsque je me promène dans la conférence RSA, les personnes qui me connaissent me disent "Salut!" Et celles qui ne vérifient pas mon badge. Si une jeune femme séduisante portait mon badge, personne ne se croirait à moi; le badge n'est pas mon identité. Je n'ai pas besoin d'entrer un mot de passe pour aller dans la salle de presse; ils savent qui je suis. Le plan ThreatMetrix s'étend en sachant qui vous êtes dans le cyberespace.

J'ai demandé à Faulkner, qu'en est-il des faux positifs? Nous sommes nombreux à avoir des problèmes de cartes de crédit car nous avons effectué un achat dans un lieu inhabituel. ThreatMetrix ne pourrait-il pas bloquer par erreur mon accès à un site bancaire, par exemple? "Nous fournissons le contexte", a-t-il répondu, "mais nous ne sommes pas le responsable. Le site peut décider de rejeter la transaction ou de le soumettre à un examen plus approfondi. Sauf s'il s'agit d'une fraude flagrante, ils ne le refuseraient probablement pas directement."

Le secteur bancaire utilise déjà des techniques similaires pour signaler les transactions potentiellement risquées. Je peux totalement voir l'extension de ce modèle à l'authentification de site Web. Bien entendu, cela ne peut se faire qu'avec une participation quasi universelle. Si cet objectif ambitieux est atteint, il est possible que nous ne devions plus jamais nous souvenir d'un mot de passe tel que 8l3yO5JgtxIC ou CorrectHorseBatteryStaple.

Pour voir tous les articles de notre couverture RSA, consultez notre page Afficher les rapports.