211service.com
Plus de mots de passe, plus de problèmes
Il est facile de se souvenir d'un nom d'utilisateur et d'un mot de passe. Garder cinq ou dix d'affilée est beaucoup plus difficile. La surcharge de mots de passe a longtemps affligé les techniciens, mais comme nous passons tous plus de temps à tout faire, des achats aux opérations bancaires en passant par les jeux sur le Web, c'est devenu un problème plus répandu.
Un certain nombre d'entreprises tentent de lutter contre le problème. Les approches vont des gestionnaires de mots de passe qui sécurisent vos informations de connexion avec un mot de passe principal aux méthodes qui éliminent le besoin de plusieurs mots de passe en premier lieu.
Jusqu'en 2007 étudier par Microsoft Research a exploré la force, la fréquence et l'utilisation des mots de passe appartenant à 500 000 utilisateurs d'ordinateurs. L'étude a révélé que chaque personne avait en moyenne 6,5 mots de passe qu'elle utilisait pour 25 comptes en ligne différents, ce qui signifie que chaque mot de passe était recyclé environ quatre fois.
Cinq ans plus tard, la plupart d'entre nous avons beaucoup plus de comptes auxquels nous avons accès sur des ordinateurs de bureau, des smartphones et des tablettes. Mais nous ne sommes probablement pas meilleurs pour proposer des mots de passe sécurisés - ceux qui ne peuvent pas être facilement devinés ou déchiffrés à l'aide d'un ordinateur - et, comme le montrent les failles de sécurité très médiatisées sur des sites Web comme LinkedIn et eHarmony, les mots de passe faibles mettent nos identités en ligne à risque.
L'outil le plus courant pour organiser une surabondance de mots de passe est le gestionnaire de mots de passe, mais peu de gens les utilisent, dit Cormac Herley , auteur de l'étude Microsoft Research de 2007. Une startup appelée Dashlane espère changer cela, avec une gestion simple des mots de passe et un outil de remplissage de formulaire automatisé qui, selon lui, peuvent faciliter les achats en ligne. Dashlane crypte et stocke les mots de passe sur l'ordinateur ou le smartphone d'un utilisateur. Ensuite, seul le mot de passe principal, qui n'est pas stocké sur les serveurs de Dashlane, peut être utilisé pour accéder aux informations.
La société est sortie d'un test bêta privé en avril, et Daniela Perdomo, directrice de la croissance des utilisateurs de Dashlane, affirme qu'elle compte actuellement des centaines de milliers d'utilisateurs qui ont collectivement stocké 1,5 million de mots de passe avec ses logiciels pour ordinateur de bureau et smartphone (la plupart utilisent une version gratuite du service). Elle affirme que la technologie de remplissage automatique de formulaires de Dashlane est précise environ 90 à 95 % du temps.
Le point faible ici, bien sûr, est l'oubli de votre mot de passe principal. Mais l'approche rend également plus difficile pour les autres d'accéder à vos données simplement en volant votre appareil. Et la configuration d'un gestionnaire de mots de passe pourrait vous inciter à sécuriser vos mots de passe individuels, sachant que vous n'aurez désormais plus qu'à vous souvenir de ce mot de passe principal pour accéder à tous vos comptes sur votre ordinateur. Perdomo reconnaît que la plupart des gens ne sont pas prêts à être proactifs à propos des mots de passe faibles ou identiques. La personne moyenne ne s'en soucie pas jusqu'à ce qu'elle soit piratée, dit-elle, faisant écho à l'opinion de plusieurs experts en sécurité.
Un autre inconvénient majeur des gestionnaires de mots de passe est qu'ils doivent souvent être installés et synchronisés sur chaque appareil que vous utilisez pour accéder à vos comptes. Cela peut être pratique si vous êtes sur votre ordinateur à la maison ou au travail, mais moins si vous êtes chez un ami.
Cependant, il y a de fortes chances que vous ayez votre smartphone sur vous. Il entre également en jeu pour équilibrer la sécurité de connexion et la commodité. C'est l'idée derrière ID de téléphone , que les ingénieurs logiciels Mike Thomas et Vahur Roosimaa ont créé début septembre lors d'un hackathon, un marathon de codage où les programmeurs proposent de nouvelles idées, organisé par le blog technologique TechCrunch. Actuellement un prototype, PhoneID vous permet de vous connecter à des sites Web avec votre ordinateur de bureau en utilisant votre smartphone pour scanner un code QR à l'écran, dit Thomas. De cette façon, vous n'aurez jamais à saisir un nom d'utilisateur et un mot de passe.
La première fois que vous visitez un site Web participant sur votre ordinateur de bureau, un code QR apparaît à l'écran. Le scanner avec votre téléphone inviterait votre ordinateur à demander votre numéro de téléphone, et PhoneID enverrait à votre téléphone portable un SMS sur lequel vous pourriez cliquer pour vous connecter au site et vous authentifier. Lors des visites suivantes, la numérisation d'un code QR à l'écran vous connectera immédiatement.
PhoneID nécessite qu'un site Web ajoute plusieurs lignes de code. Et bien qu'il puisse être configuré pour fonctionner avec des sites sur lesquels vous avez déjà un compte et un mot de passe, il est actuellement conçu pour créer un nouveau compte sur un site. Thomas affirme que cette approche pourrait éviter aux sites Web d'avoir à stocker et à protéger les informations de mot de passe, et aux consommateurs de ne pas se souvenir de leurs informations de connexion. Même pour quelqu'un qui a des connaissances techniques, il est difficile de garder une trace de tous vos mots de passe, dit-il.
L'analyste de Gartner, Gregg Kreizman, pense que des solutions telles que PhoneID deviendront plus courantes à mesure que les entreprises tireront parti des caméras, des capteurs et des capacités de géolocalisation des smartphones. Ces fonctionnalités pourraient aider en fournissant d'autres moyens d'authentifier les utilisateurs, dit-il.
Mais et si nous pouvions simplement réduire complètement les mots de passe ? Les exemples existants les plus populaires de cette approche sont Facebook Connect et Connectez-vous avec Twitter, deux services qui vous permettent de vous connecter à des sites Web avec vos informations d'identification Facebook ou Twitter. Cela rend les choses pratiques pour les utilisateurs, tout en permettant aux sites d'accéder à certaines de vos informations personnelles. Ce n'est pas si sûr, cependant. Une autre approche est venue récemment d'Intel, qui, lors de l'Intel Developer Forum, a annoncé un plan à consonance futuriste pour authentifier les gens en lisant les schémas veineux.
Une startup appelée ID unique a une idée différente. Il oblige les sites Web à utiliser sa méthode de connexion, qui utilise la cryptographie à clé publique - une technologie de sécurité qui crypte et décrypte les données à l'aide de deux types de clés appartenant à chaque partie, l'une gardée secrète et l'autre publiée ouvertement - et la connaissance des appareils que vous utilisez pour sécuriser vous connecter en un seul clic.
Le fondateur de OneID, Steve Kirsch, qui a également fondé le moteur de recherche Infoseek, explique que lorsqu'un utilisateur appuie sur un bouton OneID sur un site Web, le site envoie sa clé publique à l'ordinateur de l'utilisateur. Cette clé est ensuite transmise à un serveur OneID, qui peut déterminer rapidement en fonction des spécifications du site Web et des préférences de l'utilisateur ce qui doit se passer ensuite, si une authentification supplémentaire est requise ou si l'utilisateur peut simplement être autorisé à accéder au site.
Les utilisateurs OneID n'ont pas besoin de définir de mot de passe. Une application pour smartphone qui approuve les activités à haut risque comme les achats en ligne nécessite cependant un code PIN. Bien que quelqu'un puisse toujours voler votre ordinateur, puis accéder à certains sites Web à faible sécurité qui ne nécessitent pas d'authentification à deux facteurs, vous pouvez désactiver l'accès OneID de cet appareil à distance pour arrêter la violation.
OneID est en train de déployer sa technologie, bien que la société n'ait pu nommer aucun site qui l'utilise. Kirsch dit que la société recherche des sites, tels que des entreprises de commerce électronique et des banques, qui nécessitent une sécurité élevée. Au fur et à mesure qu'ils essaient et que les gens voient les résultats, de plus en plus de gens essaieront, dit Kirsch.
Moxie Marlinspike , un chercheur en sécurité informatique basé à San Francisco, affirme que les authentifications uniques axées sur la sécurité sont difficiles à vendre. La plupart de ces sites ne voient pas la commodité de ne pas avoir à gérer un nom d'utilisateur et un mot de passe comme un réel avantage, dit-il, et s'ils choisissent d'en activer un, ils opteront généralement pour les options Facebook ou Twitter, car cela leur donnera l'accès à certaines informations sociales d'un utilisateur.
Marlinspike pense que pour amener les utilisateurs à changer leurs comportements, les développeurs devront continuer à travailler pour rendre la sécurité aussi invisible que possible. Mais, dit-il, les mots de passe seront probablement avec nous pendant un certain temps.