À quel point détestez-vous les mots de passe ? À une époque plus simple, ils étaient une gêne précise, mais avec plus de quinze milliards d'informations d'identification piratées circulant désormais sur la page Web obscure, le maintien d'une bonne hygiène des mots de passe est devenu un projet scientifique.
La plupart des spécialistes conseillent désormais de créer des mots de passe avec un minimum de douze caractères aléatoires et de ne plus jamais utiliser exactement le même sur plusieurs sites. Étant donné que la plupart des humains se souviennent de tout ce qui est hors de portée de la plupart des humains, il existe une pluralité de gestionnaires de mots de passe gratuits pour vous aider, dont la plupart sont protégés par, vous l'aurez deviné, des clés d'accès.
Personne ne déteste plus les mots de passe que les opérateurs de sites qui en ont besoin. Une enquête récente auprès de plus d'un avec zéro utilisateur menée par la startup sans mot de passe Beyond Identity a révélé que les deux tiers ont déclaré que la nécessité de créer de nouveaux mots de passe les empêchait de créer des comptes, et les trois quarts ont déclaré avoir abandonné leurs achats en raison des inconvénients de réinitialiser les mots de passe.
Et si nous pouvions nous débarrasser complètement des mots de passe ? La bonne nouvelle, c'est qu'il y a un nombre incalculable d'argent et de cerveaux pour faire exactement cela. La mauvaise nouvelle est que les mots de passe, comme les souris, ne disparaissent jamais complètement.
Solutions sans clé d'aujourd'hui
Il y a des progrès incessants sur le front des affaires. Les fournisseurs de gestion d'accès aux identités centrés sur l'entreprise tels que Okta, Ping Identity, OneLogin et Cisco offrent un accès sans clé aux sites approuvés par l'entreprise. Vous avez toujours besoin d'au moins une clé d'accès pour vous connecter à leurs services, mais dès qu'elle sera approuvée, vous serez prêt à partir. L'inconvénient est que votre compte courant ou Netflix ne figure probablement pas sur la liste des services approuvés de l'entreprise.
Du côté des consommateurs, l'option la plus largement utilisée est OAuth, un protocole ouvert qui permet aux utilisateurs qui se connectent à des sites de confiance comme Facebook, Google et Apple de se connecter à d'autres services sans créer de compte ni de mot de passe. OAuth est simple à utiliser et considéré comme suffisamment sécurisé chaque fois que vous vous connectez à un serveur d'authentification, mais ce n'est pas du gâteau pour les opérateurs de site, a déclaré Zane Bond, chef de produit chez Keeper Security, qui crée un mot de passe de gestionnaire. .
OAuth "est probablement sécurisé du point de vue cryptographique, mais du point de vue du propriétaire d'un site, il est assez difficile à mettre en œuvre correctement", a-t-il déclaré. « Vous devez vous tenir au courant de chaque révision et version, et parfois les guides d'ajustement ne vous donnent pas toutes les informations dont vous avez besoin. Vous utilisez peut-être une technologie sécurisée, mais vous l’avez mal configurée. C'est l'une des raisons pour lesquelles OAuth n'est pas utilisé très souvent sur les millions de sites de vente au détail familiaux.
Le nouveau venu le plus important de la campagne est Microsoft, qui a introduit une alternative sans mot de passe pour les comptes Microsoft en septembre. Cependant, la solution n'élimine pas la nécessité de se connecter, car elle nécessite toujours l'application Microsoft Authenticator ou d'autres méthodes. Cela ne fonctionne également que pour les comptes Microsoft, du moins pour le moment.
Et c'est le plus gros inconvénient. Au-delà d'OAuth, le marché est un fouillis de solutions. La carencia de un estándar preceptivo único quiere decir que las personas que pasan un buen tiempo on line deben continuar confiando en una pluralidad de administradores de claves de acceso, aplicaciones de autentificación (tengo 3 de ellas), verificaciones biométricas y códigos de texto para hacer les choses.
De nouveaux joueurs à l'horizon
De nombreuses start-up s'attaquent à la baisse. Magic Labs utilise des paires de clés cryptographiques publiques et privées créées sur la blockchain Ethereum (il ne veut pas en savoir plus). Secret Double Octopus, qui remporte le prix du meilleur nom commercial que j'ai entendu, utilise une technologie censée sauvegarder les codes de lancement nucléaire, mais son produit est éminemment destiné aux entreprises.
Transmit Security a récemment levé XNUMX millions d'euros pour financer une technologie qui utilise la biométrie pour authentifier les utilisateurs sur plusieurs appareils. Beyond Identity a levé plus de XNUMX millions d'euros pour une technologie qui exploite un environnement inviolable appelé Trusted Platform Module, intégré à chaque ordinateur et smartphone. Le module enregistre une clé de cryptage privée qui est associée à son homologue publique sur les sites qu'une personne visite.
"Une fois que vous avez un compte, vous avez la possibilité de vous passer de code d'accès", a déclaré Jing Gu, responsable senior du marketing produit chez Beyond Identity. « Vous nous donnez une adresse email, on vous envoie un email et cela crée le lien. "
Le défi auquel chacune de ces entreprises est confrontée est de faire adopter leurs solutions par les exploitants de sites. Et plus il y a d’acteurs sur le marché, moins il est probable que quiconque parvienne à atteindre une masse critique. "Une véritable sécurité sans mot de passe va être très difficile à réaliser en raison du grand nombre de sites", a déclaré Bond. « Trouver un moyen pour que les normes coexistent plutôt que de se concurrencer est le moyen d'y parvenir. "
Pendant ce temps, mettez-vous à couvert. Investissez quelques dollars américains dans un gestionnaire de mots de passe, respectez la règle des douze caractères et activez l'authentification multifacteur sur chaque compte réservé. C'est douloureux, mais si votre identité a déjà été compromise (comme je l'ai fait il y a 3 ans), vous comprendrez que cela en vaut la peine.
Alors lisez ceci:
Copyright © deux mille vingt et un IDG Communications, Inc.