Les mots de passes

dimanche 20 septembre 2015 @ 11:44 posted by Nicolas MATA

Le moyen principal d’authentification sur Internet est le mot de passe – vieux d’un demi-siècle, mécanisme secret partagé qui est difficile à utiliser (en particulier sur les appareils mobiles) et qui est reconnu comme avoir des failles de sécurité, y compris des attaques à grande échelle. Même ainsi, les mots de passe restent la forme la plus répandue d’authentification avec les efforts faits visant à améliorer la sécurité se fondant généralement sur « bolt on » des solutions qui augmentent la friction utilisateur.
La sagesse traditionnelle soutient que des niveaux accrus de sécurité sont proportionnelles à la complexité accrue / difficulté. Par exemple, une porte avec un verrou est généralement considéré comme une « barrière à l’entrée » plus sûre que l’autre sans. L’authentification à deux facteurs est considéré par certains comme supérieure aux mots de passe seul. Les deux sont plus difficiles à utiliser mais peut ne pas fournir une sécurité renforcée dans la pratique.
Dans le monde physique, si la porte est plus couramment utilisé par les personnes dont les mains sont pleines, une porte verrouillée devient un obstacle inacceptable et la porte peut être laissée déverrouillée. Dans le monde virtuel, les options à deux facteurs peuvent être si coûteuses et / ou difficiles à utiliser que la grande majorité des utilisateurs refusent de les employer. Il y a aussi des arguments convaincants et des preuves que les mécanismes à deux facteurs offrent peu dans la voie de l’amélioration de la sécurité sur simple mot de passe.

Théorie

Le «Saint Graal» de l’authentification sur Internet est un mécanisme qui est à la fois facile à utiliser et sécurisé. Les mots de passe ne sont ni et de notre «quête» exige que nous abandonnions la pensée traditionnelle. Les tentatives visant à «améliorer les mots de passe » sont voués à l’échec. Ils sont difficiles à utiliser, complexe, et comme tout secret partagé, une vulnérabilité importante. Les coûts associés avec eux que nous nous dirigeons vers le prochain milliard d’utilisateurs nous oblige à chercher des alternatives.

Avec les dernières améliorations, la technologie biométrique a le potentiel de nous offrir une alternative aux mots de passe. Où les mots de passe sont complexes et difficiles à utiliser, la biométrie peut être simple et facile. Lorsqu’il est correctement déployé, la technologie biométrique peut aussi être sécurisé, en respectant la vie privée, et largement adopté. Mal déployée, elle peut ne pas être plus efficace que les mots de passe, ne donnant pas de protection contre les attaques à grande échelle, présentant des risques inacceptables à la vie privée, et par conséquent ne parvenant pas à être adopté.

Les praticiens de la sécurité sont heureux que Apple, avec l’introduction de TouchID, a assuré l’acceptation des consommateurs d’un dispositif biométrique comme un moyen facile à utiliser d’authentification. Les concurrents ont emboîté le pas en ajoutant des capteurs biométriques permettant l’authentification par empreintes digitales et de l’iris scan. D’autres suivront et nous pouvons nous attendre la plupart des dispositifs d’utilisateur final à venir avec un capteur biométrique avec le lancement de nouveaux produits. Ils seront également faciles à utiliser, si elles sont à la compétition.

Sécurité, confidentialité, et l’atténuation des attaques à grande échelle doivent également être prises en compte si la biométrie sont à catalyser le changement de paradigme loin de mots de passe. Heureusement, il est possible de répondre à chacune de ces questions en utilisant des techniques bien connues. Clés asymétriques nient les vulnérabilités inhérentes à tout régime secret partagé et peut éliminer une source importante d’attaques à grande échelle. L’authentification locale, et la conservation de tous les artefacts biométriques, assure qu’aucune information biométrique est jamais « placé sur le NET» ou dans le CLOUD. Si la solution doit être utilisée pour plus d’un site, il faut en tenir compte pour atténuer ou éliminer corrélation croisée.

Pratique

L’Alliance Fido, se consacre au remplacement des mots de passe et les moyens d’authentifications pour les services en ligne. Ses membres représentent quelques-unes des marques les plus reconnaissables sur l’Internet, et encore plus qui ne sont pas. Ils ont mis au point, les spécifications et les lignes directrices pour les protocoles que lorsqu’il est couplé avec des dispositifs de biométrie permis permettent aux fournisseurs de services en ligne de remplacer les mots de passe avec la vie privée et le respect des mécanismes faciles à utiliser, sécurisés d’authentification des utilisateurs. Les spécifications exigent également l’authentification locale, aucune des données biométriques sur le fil, aucun artefact de protocoles qui peuvent être utilisés pour la corrélation croisée et le cryptage asymétrique.

Les Membres de l’Alliance fabriquent des capteurs et des composants qui sont conformes aux spécifications. Les fabricants d’appareils offrent combinés avec ces composants .. vendeurs Platform offrent un support natif. Un système clé asymétrique facile à utiliser a été développé. Les parties utilisatrices déploient.

Les utilisateurs précoces devront engager des frais au-delà de celles qui suivent. Augmentation de l’ingénierie, le développement et les coûts opérationnels peuvent être attendus avant un, mature, standardisé, l’expérience pleinement développé largement adoptée est disponible. Cette transition du prototype à mûrir mise en œuvre se fera au cours des prochaines années que le protocole mature et sont sédimentées dans les plates-formes. Comme cela se produit, l’avantage premier-to-market appartiendra à ceux avec une expérience de déploiement et la capacité de basculer rapidement de mot de passe pour un mot de passe de moins.

Upside

Les mots de passe sont une cible fréquente des attaques de phishing. Bases de données de mots de passe sont pareillement une cible très prisé de la malveillance. L’élimination de ces objectifs augmente la sécurité et probablement conduit à réduire les fraudes. Cependant, la véritable cible à l’élimination des mots de passe est de capturer les prochain milliard d’utilisateurs. Ils seront moins technophiles et plus susceptibles d’adopter des services en ligne (même si pas plus sûr) faciles à utiliser. Étant positionné avec un, en respectant la vie privée et de mécanisme d’authentification facile à utiliser, sécurisé qui répond aux demandes des clients existants et encourage l’adoption de nouvelles client sans les risques inhérents à des mots de passe fait bon sens des affaires.

Une approche fondée sur des normes pour remplacer les mots de passe est une logique technologique. Implémentations SITE- ou spécifique sont coûteux à développer, difficile à déboguer, coûteux à déployer, et probablement ne parviennent pas à fournir une expérience utilisateur commune qui est essentiel pour la facilité d’utilisation. Les chefs d’entreprise et de la technologie devraient reconnaître l’opportunité devant nous. Il est une chose une fois dans une vie.

Remplacer les mots de passe. Maintenant.

Leave a Reply

You must be logged in to post a comment.