Rejoignez-Nous sur

Les mots de passe sont morts… encore

andre francois 556820 unsplash

News

Les mots de passe sont morts… encore

Après les manchettes et les discussions houleuses autour des violations de la part des grands consommateurs, la «mort du mot de passe» pourrait bien être la deuxième histoire la plus courante en matière de sécurité de l'information («infosec»). Et c’est une vieille histoire: Bill Gates avait prédit la chute des mots de passe il y a plus de quinze ans, en 2004. Depuis lors, de nombreux experts, y compris des experts, ont régulièrement fait valoir que de nouvelles méthodes de vérification de l'identité – des méthodes d'authentification physique, comportementale à contextuelle – supplanteraient le mot de passe et le rendraient obsolètes.

Cependant, non seulement nous utilisons encore des mots de passe, mais nous les utilisons plus que jamais auparavant, grâce à la multiplication des comptes et des appareils. Une analyse des données anonymisées de 20 000 boîtes de réception en 2015 a trouvé que l'utilisateur moyen disposait de 90 comptes en ligne et prévoyait que ce nombre doublerait tous les cinq ans … il ne reste plus qu'un an à doubler.

Sommes-nous enfin, enfin prêts à entrer dans un avenir sans mot de passe? Les nouvelles normes ouvertes qui nous obligent à utiliser l'authentification Web pour les appareils plutôt que les services en ligne peuvent enfin nous aider à retirer le mot de passe. Mais pour comprendre pourquoi cette fois peut être différent, voyons d’abord pourquoi les mots de passe sont si problématiques et pourquoi nous les utilisons encore.

Mots de passe de Mo, problèmes de mo

La mémorisation des mots de passe est incroyablement difficile – ce même sondage de 2015 a révélé une moyenne de 37 courriels de mots de passe oubliés par boîte de réception. Même si vous utilisez un gestionnaire de mots de passe, la sélection et la mémorisation de mots de passe forts et complexes restent complexes. Et s'il vous arrive d'être l'un des millions d'utilisateurs qui utilisent le même mot de passe sur plusieurs sites – par exemple, sécurisez votre compte bancaire avec le même mot de passe que votre abonnement à MillenialMemes (pas un site réel) – la valeur en espèces de votre banque La connexion au compte coûte au moins 100 dollars sur le marché noir, tandis que votre abonnement à MillenialMemes est gratuit. Cette réutilisation de mots de passe sur plusieurs sites crée un «réseau de risques» dangereux qui peut rendre catastrophique la violation d'un service sur plusieurs sites.

Pour les entreprises, c’est encore plus coûteux: les mots de passe volés sont la cause de 81% des brèches de sécurité – et chaque infraction coûte en moyenne 3,9 millions de dollars. Même si une faille de sécurité ne se produit jamais, réinitialisez les mots de passe oubliés pourrait coûter grandes entreprises environ un million de dollars par an.

Alors, pourquoi utilisons-nous encore des mots de passe?

À bien des égards, les mots de passe sont le symptôme d'un problème plus important: notre incapacité à intégrer la sécurité à Internet dès le départ. Depuis, nous essayons de corriger et de corriger les trous, et les mots de passe sont tout simplement la solution la moins mauvaise, nous permettant de sécuriser un compte à la fois. Les solutions de remplacement (jetons de réseau privé virtuel et matériel, authentification par téléphone, biométrie) n’ont pas fonctionné aussi bien que prévu ni n’ont été économiquement réalisables.

L'authentification par téléphone repose en grande partie sur des appels téléphoniques et des messages SMS. Ceux-ci étant liés au numéro de téléphone de l'utilisateur, il est trop facile d'ingénieur social ou de pirater un réseau cellulaire pour rediriger le numéro de téléphone, permettant ainsi à un mauvais acteur d'intercepter des messages et d'appeler pour une fausse authentification.

La biométrie – bien qu’apparemment la solution la plus pratique et la plus personnalisée à l’identité d’un individu – se forge trop facilement, rendant les utilisateurs vulnérables aux attaques de réseau et aux logiciels malveillants. Par exemple, une photo haute résolution est capable de contourner certains logiciels de reconnaissance faciale. La biométrie soulève également des problèmes de confidentialité et de biais. Des études ont montré la biométrie est beaucoup moins précise pour identifier les femmes et les personnes à la peau plus foncée. Reconnaissance faciale dans les aéroports Le dernier effort biométrique en matière de liberté civile a-t-il été soulevé: que se passe-t-il lorsque des gouvernements entiers et d'autres institutions gèrent des bases de données centralisées de données biométriques comportant un biais implicite et pouvant être volées ou utilisées abusivement?

Les jetons – les appareils qui authentifient un utilisateur – ont le potentiel de remplacer les mots de passe, mais jusqu'à présent, les considérations économiques ont arrêté leur adoption généralisée. Étant donné qu'un utilisateur se connecte séparément à Twitter, Gmail, Facebook, pour remplacer chacun de ces services par un jeton, il faudrait acheter des dizaines de dongles à 30 $.

Enfin, un seul jeton pour les gouverner tous

Mais que se passe-t-il si un utilisateur ne doit pas se connecter séparément à chaque service? Et si ils pouvaient avoir un seul jeton pour les gouverner tous? Un passage de «l’authentification de compte» à «l’authentification de périphérique» permettrait exactement cela. Au lieu de se connecter séparément à chaque compte, un utilisateur authentifie son appareil, tel qu'un ordinateur portable ou un téléphone portable, pour ensuite accéder à tous ses comptes en ligne.

Il s’agit d’une approche un à plusieurs de l’authentification, susceptible d’améliorer l’expérience utilisateur et la sécurité, sans mot de passe. Et les nouveaux consortiums de normalisation, qui recherchent depuis longtemps une meilleure alternative au mot de passe, sont à l'origine du changement. En 2013, l'Alliance FIDO élaboré et mis en œuvre un certain nombre de normes ouvertes, notamment WebAuthn, une API de gestion des identifiants intégrée de manière native aux navigateurs Web. WebAuthn offre un moyen sécurisé d’enregistrer un service sur un périphérique authentifié sans transmettre de mots de passe ou d’informations utilisateur à des serveurs tiers.

Pour les utilisateurs, cela est plus pratique, car ils ne doivent se connecter qu’une seule fois à leur ordinateur portable ou à leur téléphone portable, généralement avec un jeton matériel (c'est-à-dire, connectez une YubiKey à leur ordinateur). Cela offre les avantages mêmes de la réutilisation de plusieurs mots de passe – une clé unique pour accéder à tous les services – sans la terrible pratique consistant à réutiliser des mots de passe. Et l'utilisateur n'a besoin que d'une seule clé pour accéder à tous les services au lieu de se souvenir de dizaines de mots de passe.

De plus, il fournit une authentification forte à deux ou à plusieurs facteurs qui associe une personne, ce qu’elle sait et / ou ce qu’elle possède pour vérifier l’identité de l’utilisateur. La sécurité étant basée sur les appareils et l’authentification étant locale, il n’ya aucun risque que les mots de passe soient stockés sur des serveurs – une des principales causes de violation. Si un appareil est volé, le jeton doit toujours être accessible.

Bien entendu, il existe des limites à la sécurité basée sur les appareils. Nous essayons depuis longtemps de sécuriser les appareils par défaut, mais même nos meilleurs efforts peuvent être annulés par une faute de soin, telle que laisser un appareil connecté et laissé sans surveillance ou le vol d'un jeton matériel afin qu'un pirate puisse authentifier un utilisateur. autre appareil. Forcer les utilisateurs tout au long du processus d’enregistrement de périphérique à chaque changement de périphérique peut créer plus de frictions dans leur expérience utilisateur. De plus, le cloud nous a également rendus beaucoup moins dépendants des périphériques, de sorte que des informations sécurisées sont toujours accessibles en dehors de notre appareil. Bien que nous ayons fait quelques progrès avec le mot de passe, il n’existe jamais de pratiques de sécurité parfaites. Il y aura toujours des risques.

Mais dans l’ensemble, l’authentification basée sur le périphérique et les normes ouvertes, telles que WebAuthn, pourraient être le Saint Graal de l’authentification: plus de commodité et une sécurité accrue. Ce n'est que maintenant possible en raison des normes ouvertes et du matériel largement disponible qui les prend en charge. Auparavant, acheter du matériel de qualité industrielle signifiait souvent contacter une société de logiciels d'entreprise, parler à un représentant, obtenir un devis, couper un bon de commande et attendre quelques semaines pour la livraison. Aujourd'hui, vous pouvez utiliser la technologie de sécurité Amazon basée sur les normes industrielles et la faire livrer chez vous en quelques jours.

Nous ne pourrons peut-être jamais supprimer complètement le mot de passe, mais ces tendances signifient que chaque mot de passe que nous retirons nous rapproche d'un avenir meilleur et plus sûr.

***

Les points de vue exprimés ici sont ceux de l’individu AH Capital Management, L.L.C. («A16z») du personnel cité et ne sont pas les vues de a16z ou de ses filiales. Certaines informations contenues dans ce document proviennent de sources tierces, notamment de sociétés de portefeuille de fonds gérés par a16z. Bien que provenant de sources considérées comme fiables, a16z n'a pas vérifié de manière indépendante ces informations et ne fait aucune déclaration relative à la précision durable de ces informations ni à leur adéquation pour une situation donnée.

Ce contenu est fourni à des fins d'information uniquement et ne doit en aucun cas être considéré comme un conseil juridique, commercial, d'investissement ou fiscal. Vous devriez consulter vos propres conseillers sur ces questions. Les références à des valeurs mobilières ou des actifs numériques ne sont données qu'à des fins d'illustration et ne constituent en aucun cas une recommandation d'investissement ou une offre de services de conseil en investissement. En outre, ce contenu n'est ni destiné ni destiné à être utilisé par des investisseurs ou des investisseurs potentiels et ne peut en aucun cas être invoqué pour décider d'investir dans un fonds géré par a16z. (Une offre d’investissement dans un fonds a16z ne sera faite que par le mémorandum de placement privé, le contrat de souscription et toute autre documentation pertinente concernant ce fonds, et doit être lue dans son intégralité.) Tous les investissements ou sociétés de portefeuille mentionnés, mentionnés ou décrits ne sont pas représentatifs de tous les investissements dans des véhicules gérés par a16z, et rien ne garantit que les investissements seront rentables ni que d’autres investissements effectués à l’avenir auront des caractéristiques ou des résultats similaires. Une liste des investissements réalisés par des fonds gérés par Andreessen Horowitz (à l’exclusion des investissements pour lesquels l’émetteur n’a pas donné la permission à a16z de divulguer publiquement des investissements non annoncés dans des actifs numériques négociés en bourse) est disponible à l’adresse suivante: https://a16z.com/investments/.

Les graphiques et graphiques fournis sont uniquement à des fins d'information et ne doivent en aucun cas être pris en compte lors de la prise d'une décision d'investissement. Les performances passées ne représentent pas les résultats futurs. Le contenu ne parle que de la date indiquée. Les projections, estimations, prévisions, objectifs, perspectives et / ou opinions exprimées dans ces documents sont sujettes à modification sans préavis et peuvent être divergentes ou aller à l'encontre des opinions exprimées par d'autres. S'il te plait regarde https://a16z.com/disclosures pour d'autres informations importantes.

. (tagsToTranslate) mots de passe (t) jetons (t) biométrie (t) sécurité (t) normes ouvertes (t) authentification (t) webauthn



Traduction de l’article de dasrush : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top
eleifend Nullam in massa nunc leo.