Certaines personnes ne peuvent pas arrêter de parler de la mort dele mot de passe. Les mots de passe sont vieux, peu sûrs et facilement fuites. Bientôt, nous utiliserons tous la biométrie, les clés de sécurité matérielles et d’autres solutions futuristes, n’est-ce pas? Eh bien, pas si vite.
Nous avons parlé au chef de la sécurité de 1Password, Jeffery Goldberg, qui a déclaré qu'il était «optimiste et optimiste que cette fois, nous pourrions voir un problème dans le problème des mots de passe."
C’est ça l’optimisme, et c’est loin de la mort des mots de passe.
Pourquoi les gens veulent tuer le mot de passe
En mai 2018, lorsqu’elle a évoqué l’objectif de la société «Construire un monde sans mots de passe», l’équipe de sécurité de Microsoft a écrit:
“Personne n'aime les mots de passe. Ils sont peu pratiques, peu sûrs et coûteux. En fait, nous les détestons tellement que nous avons été occupés au travail à essayer de créer un monde sans eux - un monde sans mots de passe. "
Les mots de passe sont devenus de plus en plus gênants au fil du temps,et nous avons tous pris conscience des risques liés à la réutilisation. Si vous utilisez le même mot de passe sur plusieurs sites et qu’il existe une fuite de mot de passe, le vôtre peut être utilisé pour accéder à votre compte sur un autre site Web. Vous devez donc choisir un mot de passe fort et unique pour chaque service que vous utilisez. Le temps de réutiliser un mot de passe court et simple sur une poignée de sites Web est révolu.
Pour la plupart des gens qui n’ont pas de surhumainsouvenir, il est impossible de retenir un mot de passe fort et unique pour chaque compte en ligne. C’est la raison pour laquelle nous recommandons aux gestionnaires de mots de passe de se rappeler tous ces mots de passe forts et uniques pour vous. Vous devez simplement vous rappeler votre mot de passe principal, ce qui est beaucoup plus simple que de garder 100 et plus sûr que de réutiliser le même.
Même avec un gestionnaire de mot de passe, cependant, ce n’est pas le cas.complètement sécurisé. Quelqu'un avec un enregistreur de frappe sur votre système pourrait capturer votre mot de passe et vous connecter en tant que vous. C'est pourquoi les services ajoutent une sécurité supplémentaire. Nous tapons souvent un mot de passe et devons ensuite nous authentifier une seconde fois avec un code ou une clé.
Y a-t-il un meilleur moyen?
Qu'est-ce qui pourrait remplacer le mot de passe?
Goldberg a déclaré avoir vu «plan après plan»proposé de supprimer les mots de passe au cours des vingt dernières années - nombre d’entre eux n’ayant pas appris ce qui avait échoué dans le passé. Mais les nouveaux modèles pourraient avoir de meilleures chances de réussir grâce à des avancées telles que des périphériques locaux plus puissants.
La biométrie peut remplacer un mot de passe. Vous pouvez utiliser une identification tactile ou faciale (biométrie) pour vous connecter à votre iPhone au lieu de saisir un code PIN. Les téléphones Android ont également des fonctionnalités de connexion d'empreintes digitales et de visage.
Vous pouvez également créer des comptes Microsoft «sans mot de passe» pour vous connecter à Windows. Votre nom d'utilisateur est votre numéro de téléphone et le «mot de passe» que vous tapez est un code envoyé à votre numéro de téléphone par SMS.
Vous pouvez également utiliser une clé de sécurité physique à la placed'un mot de passe pour authentifier vos comptes en ligne. Vous conservez la clé (vous pouvez même la conserver sur votre trousseau) et l’utilisez via USB, NFC ou Bluetooth au moment de la connexion.
Les téléphones peuvent également remplacer les mots de passe. Google permet maintenant aux appareils Android de fonctionner comme des clés FIDO2. Vous devrez peut-être également vous authentifier avec une empreinte digitale sur votre téléphone lors de la connexion à un site Web sur votre ordinateur portable.
De nombreuses entreprises tentent de réduire le recours auxmots de passe en offrant des fournisseurs de «connexion unique». C'est lorsque vous vous connectez à Facebook, Google, etc., puis utilisez ce compte pour vous connecter à d'autres services. Aucun mot de passe supplémentaire n'est nécessaire.
Le mot de passe "Remplacements" ne remplace pas les mots de passe
Il y a cependant un gros problème. Les technologies présentées comme des "remplacements" de mots de passe ne sont pas réellement des remplacements - du moins, pas encore.
La biométrie, comme Face ou Touch ID, nécessite toujoursUn mot de passe et un mot de passe Apple ID sur votre appareil. Certaines tâches nécessitent également un code PIN pour le chiffrement en arrière-plan. Les fonctionnalités biométriques sous Android et Windows Hello sous Windows 10 fonctionnent de la même manière, en gros comme fonctionnalité. Il est plus facile de vous connecter à votre appareil, car vous n’avez pas besoin de taper un mot de passe à chaque fois, mais cela ne se fait pas. remplacer votre mot de passe.
Un compte sans mot de passe qui envoie des codes de téléphone àvous n’êtes pas génial non plus. Plutôt qu'un mot de passe pour votre compte, ce service en crée un nouveau chaque fois que vous essayez de vous connecter et vous l'envoie par SMS. Ceci est moins sécurisé que la méthode traditionnelle consistant à utiliser un mot de passe unique plus un code de sécurité qui vous est envoyé lorsque vous vous connectez.
Malheureusement, les attaquants volent facilement le téléphonenombres dans de nombreuses situations, ce qui rend cela moins sécurisé. C’est un excellent moyen de joindre les gens des pays où les numéros de téléphone sont omniprésents et de réduire les frictions de la création d’un compte. C’est la raison pour laquelle Amazon le propose également. Mais ce n’est pas une bonne solution pour remplacer les mots de passe.
La plupart des services qui ont adopté la sécurité physiqueles clés les utilisent comme une option d’authentification supplémentaire. Vous vous connectez toujours avec votre mot de passe, puis vous fournissez la clé de sécurité comme confirmation secondaire pour pouvoir entrer. La possibilité d'utiliser une clé sans mot de passe est encore loin.
Les services d’authentification unique posent également un problème de confidentialité. Lorsque vous cliquez sur "Connexion avec Google" ou "Connexion avec Facebook", l'opérateur de service, Google ou Facebook, sait à quoi vous vous connectez.
Il y aura toujours des mots de passe (en arrière-plan)
Même si le rêve de Google de remplacer les mots de passe par des téléphones se concrétise, le mot de passe ne sera pas éliminé. The Verge a résumé les projets de Google de la manière suivante: "Si vous êtes déjà connecté à votre téléphone, vous pouvez vous en servir pour" démarrer "le prochain appareil auquel vous souhaitez vous connecter à votre compte Google."
Vous pouvez éviter d’utiliser votre mot de passe pendant longtemps, mais il est toujours présent en arrière-plan. Après tout, vous en aurez besoin si vous perdez tous vos appareils.
Les mots de passe sont encore très répandus. Ils sont faciles à configurer et à utiliser. Les «remplacements» de mots de passe offrent plus de commodité ou de sécurité supplémentaire. Mais vous aurez toujours besoin d’un moyen de retrouver l’accès si vous perdez votre appareil et que vous ne pouvez pas utiliser votre sécurité biométrique ou matérielle.
«Je pense qu'il y aura toujours des cas extrêmesdes mots de passe », a déclaré Matt Davey, chef de l’exploitation de 1Password. Par exemple, Connexion avec Apple dans iOS 13 offre une option de connexion basée sur le Web qui utilise votre mot de passe d'identification Apple lorsque vous vous connectez à un appareil non Apple. Un mot de passe fonctionne partout et constitue la valeur universelle par défaut lorsque des fonctions biométriques ou de sécurité matérielle sophistiquées ne sont pas disponibles.
Comme le disait Goldberg, «les mots de passe sont vraiment très faciles à mettre en œuvre pour les sites Web. "C’est toujours la chose la plus simple à utiliser pour les opérateurs de services."
C’est pourquoi 1Password est optimiste pour l’avenir degestionnaires de mot de passe. La société a déclaré avoir rencontré un nombre croissant de nouveaux utilisateurs malgré la concurrence croissante et que des sociétés comme Apple, Google et Mozilla se montrent plus sérieuses en matière de gestion des mots de passe.
Que réserve l'avenir?
Le rêve de tuer le mot de passe est loin. Même si le processus se déroule bien, le meilleur des scénarios est que nous allons avancer lentement, avec des alternatives plus faciles aux mots de passe.
Un jour, les mots de passe pourraient être tellement relégués auqu’ils seront une méthode de récupération de compte oublié depuis longtemps. Mais ils seront probablement là pour longtemps. La bataille pour les bannir de l'utilisation quotidienne pour la majorité des gens sera longue et ardue. Mais tuer les mots de passe entièrement? C’est encore plus difficile à imaginer.
