Et si vous n’aviez plus jamais à taper un mot de passe ? Imaginer. Une journée internationale de célébration. Des enfants dansent dans les rues. Des soldats déposant les armes et s’étreignant en larmes à travers le champ de bataille.
Ou, du moins, une légère amélioration de votre vie quotidienne. C’est ce qu’Apple, Google et Microsoft proposent, avec une triple annonce assez rare que les trois géants de la technologie adoptent tous la norme Fido et inaugurent un avenir sans mot de passe. La norme remplace les noms d’utilisateur et les mots de passe par des « clés d’accès », des informations de connexion stockées directement sur votre appareil et téléchargées uniquement sur le site Web lorsqu’elles sont associées à une authentification biométrique comme un selfie ou une empreinte digitale. De l’annonce d’Apple:
Les utilisateurs se connecteront par la même action qu’ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, telle qu’une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN de l’appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d’accès à usage unique envoyés par SMS.
Les trois entreprises déploieront le support Fido « au cours de l’année à venir ». La norme Fido2 est en fait déjà publique, et certaines entreprises la prennent déjà en charge, en grande partie pour l’authentification interne. Mais la norme a longtemps manqué de la dernière étape nécessaire à l’ubiquité: faciliter le démarrage.
C’est l’objet de cette dernière annonce. Avec l’aide des propriétaires de la plate-forme, les utilisateurs pourront synchroniser leurs « clés d’accès » Fido, sans avoir besoin de se connecter à nouveau sur chaque nouvel appareil. Cela le fait passer d’un service qui est un bon ajout aux mots de passe à un service qui peut être entièrement utilisé pour les remplacer.
La facilité d’utilisation n’est qu’une partie de la raison du changement. Les clés d’accès, sécurisées par une identification biométrique sur votre téléphone, sont plus rapides que la saisie manuelle des mots de passe, mais si vous utilisez un gestionnaire de mots de passe (et vous devez utiliser un gestionnaire de mots de passe), vous pourrez de toute façon entrer des mots de passe et vous connecter à la plupart des sites Web en appuyant sur un bouton (détection d’empreintes digitales).
Mais la plus grande raison est que les mots de passe sont nuls. Ils sont nuls à cause de la façon dont ils sont utilisés dans la pratique: les gens créent des mots de passe courts et faciles à deviner, puis les réutilisent sur Internet. Pour de nombreux utilisateurs, plus un site Web est important, plus le mot de passe est susceptible d’être court et facile à deviner, car bien que vous puissiez tolérer la saisie d’un mot de passe long et sécurisé une ou deux fois, vous ne vous donnerez pas la peine de le faire plusieurs fois par jour.
Et les façons dont nous avons essayé de corriger les mots de passe … aussi sucer. Les exigences pour ajouter de la complexité aux mots de passe, dans le but de rendre plus difficile de les casser par la force brute, sont notoirement exaspérantes et souvent inaptes à sécuriser le résultat réel qu’ils recherchent: si « P@ssword1 » est un mot de passe valide, mais que « tunnel de prorogue de doubloon » (pour offrir une phrase secrète générée aléatoirement par mon gestionnaire de mots de passe tout à l’heure) ne l’est pas, vous venez de réduire la sécurité du compte de quelqu’un.
L’authentification à deux facteurs, qui vous demande de lier un deuxième « facteur » à votre compte – comme un numéro de téléphone qui reçoit un SMS ou un autre appareil, que vous utilisez pour approuver la connexion – a ses propres problèmes. Les formes les plus populaires d’authentification à deux facteurs impliquent toutes l’utilisation de codes d’accès à usage unique, soit envoyés par SMS ou générés par une application sur votre téléphone ou votre ordinateur. Et ces codes d’accès à usage unique sont tout aussi ouverts au phishing qu’un mot de passe conventionnel, bien qu’avec une date d’expiration plus courte s’ils sont volés avec succès.
Et donc, si la chose Fido décolle, le monde devrait devenir légèrement plus sûr, un peu moins frustrant et légèrement plus lisse à traverser.
À quoi cela ressemblera-t-il pour vous? Probablement pas si différent dans la pratique. Un jour, vous créerez un compte sur un site Web et juste … ne sera pas demandé de mot de passe. Vous ne remarquerez peut-être même pas que cela se produit. Mais rassurez-vous : les enfants danseront de toute façon dans les rues.
Si vous souhaitez lire la version complète de la newsletter veuillez vous abonner pour recevoir TechScape dans votre boîte de réception tous les mercredis.