Table des matières:
- Qu'est-ce qui empêche l'authentification sans mot de passe?
- Les fédéraux viennent frapper à la porte
- Obtenir sur la même page
- Quand les mots de passe vont-ils enfin disparaître?
Vidéo: 30 000 MOTS DE PASSE CRACKÉS EN 5 MINUTES ! (Novembre 2024)
En 2012, Matt Honan de Wired a écrit sur les conséquences désastreuses de lier toute votre vie numérique à une chaîne de lettres, de chiffres et de symboles. Honan est l'une des innombrables personnes dont les comptes en ligne ont été détournés après que des pirates informatiques aient découvert leurs mots de passe. La liste des victimes comprend également des responsables techniques de premier plan, dont Mark Zuckerberg.
Et pourtant, les mots de passe restent la principale méthode de protection des comptes en ligne.
Il n’ya pas eu une petite quantité d’innovation dans le domaine de l’authentification. En 2016, j'ai écrit sur les technologies d'authentification qui offraient des solutions de remplacement sécurisées et faciles à utiliser aux mots de passe, mais jusqu'à récemment, aucune d'entre elles n'avait été adoptée en masse.
Maintenant, cependant, nous espérons pouvoir enfin supprimer des mots de passe longs et complexes grâce à une série de réglementations et de normes ouvertes qui facilitent et encouragent la mise en œuvre de méthodes d'authentification sans mot de passe dans les applications en ligne.
Qu'est-ce qui empêche l'authentification sans mot de passe?
"Le grand nombre de mots de passe nécessaires dans notre vie quotidienne est devenu un fardeau. C'est pourquoi nous voyons autant d'informations d'identification statiques réutilisées ou faibles", déclare Stina Ehrensvard, PDG et fondatrice de Yubico, qui fabrique des clés de sécurité physiques comme le Yubikey 5 NFC.. "Nous devions réfléchir à la manière de résoudre ce problème de manière à simplifier le processus de connexion tout en ajoutant le plus haut niveau de sécurité. Jusqu'à présent, il n'y avait pas vraiment moyen de faire ces deux choses avec succès."
Les vulnérabilités des mots de passe ne sont pas perdues pour les organisations qui continuent à les utiliser. Mais avant d'envisager des solutions de rechange, ils doivent tenir compte de la sécurité, de la convivialité, de la disponibilité et des coûts de la technologie.
"La raison pour laquelle nous n'avons pas encore remplacé les mots de passe par quelque chose de plus fiable est que toutes les alternatives qui auraient pu être meilleures en termes de sécurité ou de convivialité n'ont pas été disponibles de manière omniprésente pour toutes les formes et tailles d'appareils connectés à Internet, ni leur coût. - efficace ", a déclaré Brett McDowell, directeur exécutif de FIDO Alliance, un consortium qui élabore des normes d'authentification.
En outre, la saisie du mot de passe est la technologie d'authentification la moins chère et la plus simple à implémenter dans les nouveaux sites Web et les applications mobiles. Et bien que des solutions de rechange telles que la technologie d’authentification biométrique soient de plus en plus disponibles sur les appareils mobiles, la saisie de mots de passe reste la fonctionnalité omniprésente prise en charge par tous les appareils. Le supprimer empêcherait de nombreux utilisateurs d'accéder à ces services.
L'absence de normes rend également difficile l'abandon des mots de passe. Les frais généraux liés à l'ajout de la prise en charge de dizaines de technologies d'authentification différentes dans les applications client et les serveurs principaux ne sont pas supportables.
Et bien sûr, il y a toujours le facteur humain. "Certaines entreprises et particuliers continuent de croire qu'ils ne seront pas affectés par les cyberattaques et qu'ils ne présenteront aucun intérêt pour les cybercriminels. Le manque de volonté et de ressources pour modifier les solutions existantes empêche l'adoption de nouvelles solutions d'authentification sans mot de passe", déclare Alex Momot, PDG de REMME, une start-up développant un système d'authentification décentralisé.
Les fédéraux viennent frapper à la porte
Ces dernières années, la sécurité en ligne et la confidentialité des utilisateurs ont fait l'objet d'une sensibilisation accrue, en particulier parmi les organismes gouvernementaux et les régulateurs. Auparavant, les entreprises auraient pu éviter les violations de données et les incidents de sécurité avec peu de conséquences juridiques et financières, mais ce n'est plus le cas.
"Les régulateurs sont fatigués des manchettes sur les violations de données, comme tout le monde, et commencent à agir, ce qui amène de plus en plus d'entreprises à ajouter une authentification forte à leurs pratiques de protection des données", déclare McDowell.
Parmi les mesures réglementaires les plus pertinentes figure le règlement général sur la protection des données (GDPR), un ensemble de règles qui définissent la manière dont les entreprises collectent, traitent et sécurisent les données des utilisateurs. Le GDPR définit également des normes pour l'authentification forte des utilisateurs. Les entreprises qui ne respectent pas les règles et protègent les données de leurs clients se verront infliger une amende sévère. Le GDPR s'applique uniquement à la juridiction de l'UE, mais comme de nombreuses entreprises qui ne sont pas basées dans l'UE exercent encore des activités dans la région, il est désormais considéré comme un standard en matière de sécurité.
"À une époque où de plus en plus de sociétés adoptent une authentification forte et que de plus en plus de violations de données sont causées par la compromission de mots de passe, il sera de plus en plus difficile pour une entreprise de convaincre un régulateur de la RGD que l'authentification par mot de passe est une sécurité appropriée, exposant potentiellement leur entreprise à des amendes bien plus onéreuses que le simple passage d’un mot de passe à une authentification véritablement puissante ", déclare McDowell.
D'autres réglementations sectorielles sont plus explicites sur l'utilisation de la technologie d'authentification. La directive sur les services de paiement 2 (PSD2) en est un exemple. Elle réglemente le commerce électronique et les services financiers en ligne en Europe et rend obligatoire l'authentification à deux facteurs (2FA). PSD2 encourage également l'utilisation de cartes de sécurité, d'appareils mobiles et de scanners biométriques pour améliorer l'expérience de l'utilisateur sans compromettre la sécurité.
Et l'Institut national des normes et de la technologie (NIST), qui définit les critères de diverses industries, indique dans ses directives sur les identités numériques que les organisations doivent s'éloigner des mots de passe et des codes d'accès uniques et adopter une authentification forte moderne.
"Plus précisément, le NIST recommande une authentification dans laquelle votre appareil moderne crée et utilise des clés privées cryptographiques en tant que nouvelles informations d'identification de compte et les stocke de manière sécurisée sur votre appareil personnel de la même manière que la plupart des smartphones stockent maintenant vos données d'empreinte digitale en toute sécurité", a déclaré McDowell.
Il y a débat sur la question de savoir si la réglementation gouvernementale entravera ou encouragera l'innovation. Mais à ce stade, nous aurions peut-être besoin d'une impulsion réglementaire pour l'adoption de mécanismes d'authentification plus sécurisés.
"Les gouvernements peuvent jouer un rôle crucial dans l'adoption de normes ouvertes", a déclaré Ehrensvard. "Jetez un coup d'oeil à la ceinture de sécurité, par exemple. C'est aussi une norme ouverte, et son utilisation a été réglementée par le gouvernement. De ce fait, il y a 10 fois plus de voitures sur les routes aujourd'hui, mais le nombre total d'accidents mortels est moindre."
Obtenir sur la même page
Le remplacement généralisé de l'authentification par mot de passe nécessite davantage que des réglementations. Sans un ensemble de protocoles standard, les organisations et les entreprises auront du mal à trouver une technologie d'authentification qui les maintienne en conformité avec les réglementations de sécurité tout en mettant leurs applications à la disposition des utilisateurs.
C'était le problème que FIDO était sur le point de résoudre. L'authentification FIDO repose sur un ensemble de normes technologiques libres et ouvertes, développées en partenariat avec le World Wide Web Consortium (W3C). L'objectif est de créer une interopérabilité entre les appareils et les services en permettant à l'ensemble du secteur de l'électronique grand public d'intégrer la technologie dans leurs produits et leurs plates-formes.
FIDO remplace les mots de passe par la cryptographie à clé publique. Cela signifie qu'au lieu de mots de passe, les utilisateurs sont identifiés avec une paire de clés publique et privée. Tout ce qui est chiffré avec une clé publique ne peut être déchiffré que par la clé privée correspondante. Lorsqu'un utilisateur s'inscrit avec un service en ligne prenant en charge l'authentification FIDO, le service génère une paire de clés et stocke la clé publique sur ses serveurs. La clé privée est stockée sur le périphérique de l'utilisateur uniquement. Lors de la connexion, l’application cliente se voit présenter un défi cryptographique généré avec la clé publique, qui ne peut être résolu que par la clé privée. Les utilisateurs doivent vérifier leur identité avec leur appareil (empreinte digitale, visage ou code PIN) pour déverrouiller leur clé privée et résoudre le problème.
L'avantage de ce modèle est qu'il permet une authentification multi-facteurs sans nécessiter de stockage ni d'échange de mots de passe. Même si les pirates parviennent à violer les serveurs du fournisseur de services, ils n’auront accès qu’aux clés publiques, qui sont inutiles sans les clés privées correspondantes stockées sur les appareils des utilisateurs. Si les pirates informatiques volent le périphérique d'un utilisateur, ils devront toujours ignorer la vérification de l'identité locale pour obtenir la clé privée. Du point de vue de l'utilisateur, cela évite d'avoir à mémoriser des mots de passe longs et complexes pour chaque compte, tout en offrant une sécurité supérieure.
Mais la plus grande réalisation de FIDO est d'obtenir un soutien généralisé de l'industrie des technologies. L'alliance a rassemblé de grands noms tels que Google, Microsoft, Amazon et Intel pour développer des normes faciles à mettre en œuvre sur différents types de périphériques et systèmes d'exploitation.
"Les entreprises qui ont fusionné pour former FIDO Alliance ont compris que le remplacement des mots de passe pour l'authentification en ligne ne deviendrait jamais commercialement viable à grande échelle que grâce à une combinaison de normes technologiques libres et ouvertes, à une expérience utilisateur bien supérieure et à une approche fondamentalement différente du modèle de sécurité., "Dit McDowell.
FIDO a récemment publié FIDO2, une extension de sa norme qui ajoute la prise en charge de l’authentification de clé publique aux navigateurs et à un large éventail de cadres d’application. La norme est prise en charge par Windows 10, les services Google Play sur Android et les navigateurs Web Chrome, Firefox et Edge. WebKit, la technologie à l'origine du navigateur Safari d'Apple, pourrait également ajouter prochainement la prise en charge de FIDO2.
«La norme FIDO2 permet de remplacer l’authentification basée sur un mot de passe faible par une authentification basée sur un matériel fort et utilisant la cryptographie à clé publique», déclare Ehrensvard, dont la société Yubico figure parmi les membres clés de FIDO. "Cette norme permet une authentification sans mot de passe sous plusieurs formes, y compris via USB et NFC Tap-and-Go, qui offre une expérience utilisateur optimale et améliore considérablement la sécurité et la productivité."
Quand les mots de passe vont-ils enfin disparaître?
Bien que l’industrie ait parcouru un long chemin vers le développement de méthodes d’authentification alternatives, les mots de passe ne disparaîtront pas du jour au lendemain. "Nous devons tenir compte du fait que nous avons beaucoup de logiciels et de systèmes d’information hérités. C’est pourquoi il n’est pas toujours possible de modifier facilement les règles d’authentification établies, y compris celles qui reposent sur un mot de passe", déclare Momot, directeur général de REMME.
D'autres experts, tels que Sandor Palfy, CTO de LogMeIn, estiment que les mots de passe resteront une facette centrale de l'identification des utilisateurs. Il pense également que l'industrie devrait se concentrer sur l'amélioration de l'expérience des mots de passe.
- Les meilleurs gestionnaires de mots de passe pour 2019 Les meilleurs gestionnaires de mots de passe pour 2019
- Quel est le mot de passe? Écoutez de la musique et connectez-vous via Brainwaves Quel est le mot de passe? Écoutez de la musique et connectez-vous via Brainwaves
- Des e-mails porno fictifs utilisant d'anciens mots de passe pour vous arnaquer en espèces Des e-mails pornostrices en utilisant d'anciens mots de passe pour vous arnaquer en argent comptant
"Jusqu'à ce qu'une couverture universelle avec authentification multi-facteurs (ou même une authentification comportementale ou contextuelle) soit disponible, les entreprises doivent investir dans le renforcement des services protégés par mot de passe utilisés dans l'ensemble de l'entreprise", a déclaré Palfy.
"La mémorisation de mots de passe complexes pour tous nos comptes professionnels et personnels ne correspond pas au comportement humain naturel. En utilisant des outils tels que les gestionnaires de mots de passe, la mémorisation de plusieurs mots de passe devrait appartenir au passé, les utilisateurs n'ayant plus qu'à mémoriser un mot de passe principal, "déclare Palfy, dont la société est le développeur du gestionnaire de mots de passe LastPass.
Mais pour McDowell, qui est à la barre de FIDO depuis 2014, la quête de la suppression des mots de passe touche enfin à sa fin. "Aujourd'hui, l'avenir sans mot de passe est en train de devenir réalité, une application à la fois. Dans quelques années, les formulaires de saisie de mot de passe seront à peu près aussi rares à trouver sur les pages Web que les cabines téléphoniques publiques se trouvent actuellement dans des espaces publics. même raison: nous avons une alternative économique et omniprésente qui offre une expérience utilisateur bien meilleure », a-t-il déclaré.
