En un mot: La journée mondiale du mot de passe a eu lieu jeudi dernier. En l’honneur de cette journée, Google a annoncé qu’il rendrait bientôt l’authentification à deux facteurs par défaut pour tous les utilisateurs des services Google. De plus, il inscrira automatiquement les comptes «correctement configurés». Une configuration appropriée signifie les personnes qui ont déjà mis en place une méthode de récupération, comme un e-mail ou un numéro de téléphone secondaire.
La tenue de vos comptes en ligne est de la plus haute importance. Pourtant, année après année, nous constatons que les mots de passe les plus courants continuent d’être faciles à deviner des chaînes telles que 123456, 123456789, mot de passe ou 111111. Ce qui aggrave les choses, c’est que les utilisateurs ont tendance à les utiliser sur plusieurs comptes. Avoir son e-mail compromis est une chose, mais si les mêmes informations d’identification sont utilisées pour d’autres sites comme une banque, les conséquences pourraient être dévastatrices. Google annoncé cela atténuerait ce risque pour ses utilisateurs en faisant de l’authentification à deux facteurs (2FA) un paramètre de sécurité par défaut.
L’autorisation à deux facteurs ajoute une étape supplémentaire au processus de connexion. Après avoir entré leur mot de passe, les utilisateurs recevront une notification (généralement par SMS sur leur téléphone) indiquant que quelqu’un essaie d’accéder à leur compte. Ils peuvent vérifier qu’il s’agit généralement d’eux en saisissant un code aléatoire à six chiffres dans le message ou en appuyant sur un bouton «accepter», «autoriser» ou «d’accord». Google l’appelle 2SV (vérification en deux étapes), et l’a eu en option disponible pour un certain temps.
Il est indéniable que 2FA est plus sécurisé qu’un mot de passe seul, mais de nombreux utilisateurs peuvent ne pas vouloir l’utiliser pour diverses raisons. Le facteur de réticence le plus important est sans doute qu’il les oblige à confier leur numéro de téléphone à une entreprise connue pour vendre des informations personnelles à des annonceurs. Le spam et les appels automatisés sont déjà de réels problèmes qui ont amené de nombreux consommateurs à surveiller étroitement leurs numéros.
Un autre problème possible serait les rares cas où l’utilisateur n’a pas de numéro de téléphone ou le partage avec une autre personne. On ne savait pas comment Google gérerait des situations comme celle-ci. Cependant, directeur de la gestion des produits pour l’identité et la sécurité des utilisateurs Mark Risher clarifié que les utilisateurs auraient la possibilité de se désengager de 2FA.
«Plus de facteurs signifie une protection plus forte, mais nous devons nous assurer que les utilisateurs ne sont pas accidentellement exclus de leurs comptes», a déclaré Risher à PCWorld. « C’est pourquoi nous commençons par les utilisateurs pour lesquels ce sera le changement le moins perturbateur et prévoyons de nous développer à partir de là en fonction des résultats. »
L’authentification à deux facteurs par défaut n’est que la première étape que prend Google pour éliminer complètement les mots de passe.
« Un jour, nous espérons que les mots de passe volés appartiendront au passé, car les mots de passe appartiendront au passé », a déclaré Google sans expliquer les remplacements qu’il envisage. Le géant de la recherche n’a pas non plus mentionné quand il mettra en œuvre le changement, mais les utilisateurs peuvent s’y attendre bientôt.