Google rejoint la FIDO Alliance pour remplacer les mots de passe

Stéphane Moussie |
Dans son effort de changer les méthodes d'authentification en ligne, Google fait maintenant partie de la FIDO Alliance. La FIDO (pour Fast Identity Online, identité rapide en ligne) Alliance est une organisation qui vise à régler le « manque d'interopérabilité entre les systèmes d'authentification robustes et les problèmes que les utilisateurs rencontrent pour créer et retenir de nombreux identifiants et mots de passe ».

Ce groupement a été créé en juillet 2012 par Lenovo, Paypal et des entreprises spécialisées dans les solutions d'authentification, Nok Nok Labs et Validity. FIDO Alliance milite pour une solution interopérable fonctionnant aussi bien avec les lecteurs d'empreintes digitales, qu'avec des clés USB ou des puces intégrées (Trusted Platform Module, TPM).



En janvier, deux ingénieurs de Google avaient fait part de leur intention de remplacer les mots de passe, jugés « plus assez efficaces », par une solution matérielle (lire : Google cherche à remplacer les mots de passe). « Nous aimerions que votre smartphone ou qu'une carte à puce intégrée à votre bague puisse autoriser un nouvel ordinateur via un tap sur la machine, même dans les situations où votre téléphone est sans connexion », avaient-ils déclaré.

Par ailleurs, alors que le compte Twitter de l'agence de presse AP a été piraté hier, Wired rapporte que Twitter est actuellement en train de tester en interne une authentification en deux étapes, comme le proposent déjà Google ou Dropbox.

Sur le même sujet :
- Mots de passe : rappel de quelques conseils
- Sécurité : l'intenable défi
avatar iPadOne | 
Avec Google et Lenovo on est sur de la confidentialité :D
avatar rikki finefleur | 
Je regrette que dans le monde des CB on en soit toujours réduit a un simple Mdp ou pire un simple code inscrit au dos. On est en 2013! Alors qu'une simple calculette physique attaché a la CB protegerait beaucoup plus les utilisateurs. On commence a entrevoir ces solutions, alors que ca fait au moins 30 ans que les calculettes d'authentification existe. Le principe : Vous faites un achat. Outre votre mot de passe habituel, on vous envoit un code. Vous rentrez ce code dans une minicalculatrice physique (qui vous est personnelle), et qui qui à partir du code envoyé va vous donner un code a renvoyer au vendeur. On a donc une authentification par mot de passe + une authentification matérielle. Ainsi meme si votre CB se ballade sur le net , vous ne craignez rien.
avatar rikki finefleur | 
En cas de vol de portefeuille, cette mini calculette est évidement protégée par un mdp pour l'allumer. Mais bon les dirigeants du réseau CB sont nuls, et préfèrent que la CB possède une authentification propre à se faire pirater.. Enfin authentification quand il s'agit de simplement lire le code au dos de la CB, et acheter sur le net,on ne sait si on peut appeler cela authentification.
avatar debione | 
Cette solution que tu décris est déjà depuis longtemps employé par la Poste Suisse, pour les gestion de compte online... Cela m'étonnerait fortement que ce soit le seul établissement qui pratique cela, je pense qu'il faut juste chercher...
avatar Anonyme (non vérifié) | 
@debione: Je peux te dire que toutes les banques suisse utilisent le système de la calculatrice, mais seulement pour le e-banquing. par contre un truc que personne n'essaie de faire, c'est interdire une transaction à l'étranger, je l'ai fait et quand je pars en voyage, j'informe ma banque que j'ai besoin de retirer dans tel ou tel pays dans les 2-3-4 prochaines semaines... étape supplémentaire pour la sécurité. Etant suisse (et fier, faut le dire), ce qui me choque + que la calculatrice c'est que les CB des banques européennes n'ont pas toujours la puces, grosse faille de sécurité là!
avatar debione | 
@am843: Pas forcément toutes les banques, ma compagne elle quand elle se log sur son e-banking reçoit un mdp supplémentaire par sms qu'elle doit rentrer pour accéder à son compte (ce qui fait qu'elle recevrait un sms si quelqu'un essayait de se loger sur son compte...)... Les solutions sont multiples...
avatar lmouillart | 
@showbiz787 pareil, et la où cela se mélange encore plus c'est quand on parle de pishing etc ... trop de mots de passes (plus de 1 ou 2 et encore), rends leur utilisation auprès des néophytes totalement inefficace. --- Même pour des utilisateurs avancés : Perso j'ai environ 250 mdp web à maintenir : changer de temps en temps, pour ça j'utilise Dashlane, pour la 20 ène de mdp extérieur (box, consoles, terminaux, pc, mac ...) c'est aussi dans dashlane mais il n'y a aucun automatisme. Niveau pro la c'est l'enfer, dés que l'on a de multiples clients les mots de passes se multiplient très rapidement. Quand à coté je vois les doubles authentification et SSO de Google/Microsoft/Facebook, avec uniquement à gérer des liste de révocation par apps ...
avatar C1rc3@0rc | 
Deja qu'on ne peut plus creer d'adresse email ou de compte (Google, Facebook,...) sans utiliser un numéro de telephone en plus d'un email existant, et d'captcha... Faut pas se faire leurrer, ces techniques ne sont la que pour "sécuriser" les fichiers clients de ces sociétés: elles peuvent ainsi garantir a leurs annonceurs que 100% des internautes qui ont un email sont des vraies et uniques personnes et que leurs profiles commerciaux sont valides! L'histoire des transactions commerciales a garantir, c'est de la foutaise, c'est aux banques de fournir un système sécurise de transaction, que ce soit au niveau de l'identification et de la protection du client (carte bleue virtuelle, porte monnaie électronique, compte secondaire non lie au principal,...) Et dans les récents scandales de vol de comptes (Sony, LinkedIn,...) la faille n'est pas le système d'identification mais la non sécurisation des données clients sur les serveurs! Om pourra toujours demander au client de garantir son identité avec son ADN (hein tant qu'on y est allons dans la SF) si les bases de données (surtout des cloud) ne sont pas hypersecurisees c'est comme garantir qu'un casque de moto en verre serait efficace!
avatar hartgers | 
@rikki finefleur : j'ai ce système de calculatrice chez ma banque, mais uniquement pour consulter mon compte. C'est en effet bien sécurisé mais très contraignant.
avatar GillesB | 
La BPOC utilise ces calculettes, et c'est d'un pénible! Pour un achat sur le net il faut avoir la calculette avec soi et entrer le pin de la carte pour avoir un code a saisir sur le net... Comme je ne vais pas me balader avec la calculette sur moi, je ne peux plus modifier un billet d'avion quand je suis en déplacement. Il y a effectivement urgence pour trouver un système sécurisé et utilisable, mais pas ces usines a gaz.
avatar Perc3val | 
Une bonne méthode pour les mots de passe : http://www.youtube.com/watch?v=GsBFJObh3ko
avatar Anonyme (non vérifié) | 
Test
avatar Mithrandir | 
@C1rc3@0rc : Tu as malheureusement raison. Tous les problèmes géants récents de sécurité, venaient des serveurs et pas des utilisateurs...
avatar oomu | 
ne vous embarrassez pas de ces considérations de geeks sur les "néophytes" (insulte classique) ou les imbéciles qui vous obsèdent. Les gens s'adapteront comme toujours devant l'obligation de changer leurs pratiques. Il suffit, et cela est en cours, d'imposer. nombre d'achats que je fais en ligne exige que je leur fournisse un numéro où envoyer un code (sms, mail etc). Tout comme ma banque impose à divers commerce de passer via leur système de double confirmation. et on s'y adapte (l'alternative étant l'arrêt.) Et oui, Madame Michu, la "ménagère de - 50 ans" et Monsieur Lambda vont très bien y arriver. Vous inquiétez pas. Vous savez ce que les gens normaux et sains d'esprit autour de vous n'arrivent pas à faire ? s'intéresser et se passionner pour des corvées abscons et techniques que vous seuls trouvez rigolos. Voilà la vrai raison pourquoi ils "oublient" le compte admin, ou quoi qui fait la mise à jour 'iphone' : ils ont en rien à foutre, la vie est ailleurs (pour eux). Mais on arrive tous à faire la procédure pour les impôts, remboursement de sécu et un fucking renouvellement de carte d'identité quand un des parents n'est pas né en France mais ex-colonie, rognutdju : pas le choix.
avatar oomu | 
@C1rc3@0rc [24/04/2013 11:56] "Deja qu'on ne peut plus creer d'adresse email ou de compte (Google, Facebook,...) sans utiliser un numéro de telephone en plus d'un email existant, et d'captcha... Faut pas se faire leurrer, ces techniques ne sont la que pour "sécuriser" les fichiers clients de ces sociétés: elles peuvent ainsi garantir a leurs annonceurs que 100% des internautes qui ont un email sont des vraies et uniques personnes et que leurs profiles commerciaux sont valides!" sans rentrer dans le complot ourdi par des gens à capuche dans des caves de superbe chateaux mérovingiens (où on aurait amené un excellent réseau ethernet et électricité de qualité), oui on arrive à une situation où l'anonymat est presque impossible et où on remonte aisément à vous via votre premier compte de messagerie. Pour le commerce, à la rigueur (et encore) Mais quand cela devient l'impossibilité d'écrire dans des forums (bonjour Macgen) sans fournir une identité traçable, cela devient politiquement problématique.
avatar rikki finefleur | 
C1rc3@0rc Oui mais sans calculette , avoir le numéro de cb ne sert a rien. C'est cela tout l'avantage. Il est dommage qu'en france, les banques ne le proposent pas au moins par option. Je me demande ce qu'on fait les dirigeants de visa et de la CB toutes ces années. Alors que le piratage est un véritable problème pour les détenteurs que pour les marchands.
avatar debione | 
@oomu: "Vous savez ce que les gens normaux et sains d'esprit autour de vous n'arrivent pas à faire ? s'intéresser et se passionner pour des corvées abscons et techniques que vous seuls trouvez rigolos. Voilà la vrai raison pourquoi ils "oublient" le compte admin, ou quoi qui fait la mise à jour 'iphone' : ils ont en rien à foutre, la vie est ailleurs (pour eux)." C'est une des choses rigolotes que les geek n'arrivent pas à se foutre dans leur crane... Le 99% des utilisateurs d'ordi ou de ibidule ne veulent pas être esclave de leurs machines, ils ne veulent pas devenir des geek à passer des heures et des heures pour trouver un prog capable de gérer leurs mdp, ils ne veulent pas passer des heures à éplucher les forums et écouter le langage incompréhensible pour toute personnes ne passant pas sa vie derrière un ordi... Les anormaux sont les geeks, pour preuve ils sont quasi insignifiant en terme de part d'utilisateur, vivement qu'on les oublie complètement et que l'informatique devienne vraiment des objets d'usages courant comme une voiture. Et vivement que l'on vire de l'usage courant tout ce qui n'est pas nécessaire aux utilisationx basiques, Et que les geek payent réellement le prix de leurs envies, et pas que ce prix soit reporté sur madame michu qui possède des objet informatique hors prix car bardé de possibilité qu'elle n'utilisera jamais.
avatar lmouillart | 
@oomu. Les personnes arrivent effectivement à se mettre dans la tête 1 produit = 1 mdp. Cela se complique quand certains produit sont très peu utiliser. Toujours l'exemple de mon grand père, il utilise quotidiennement son ipad, et délaisse totalement son imac. De temps à autre il l'utilise et la c'est le drame des mots de passes. "Alors ok, je suis sur le mac donc il y a un mot de passe, ah non en fait il y a aussi le mot de passe Wifi, Orange, icloud/appstore, google, bon je laisse tomber et je retourne sur l'ipad" ps : quand l'ipad fait pareil, bah il le met de coté et attends que son fils ou moi passions pour saisir le ou les mots de passes demandés. Ton exemple sur les impôts est tout à fait correcte, je m'en sert une fois l'an et avant de le stocker dans un logiciel dédié je perdais tout le temps le mot de passe du certificat. Donc oui les mots de passe c'est pas simple et rapidement l'enfer, oui il me suffit de prendre n'importe quel agenda de quelqu'un d'un peu âgé pour trouver tous ses mots de passes. Oui le seul moyen c'est d'être ordonné et de noter quelque part : service X = mdp X service Y = mdp Y, et donc c'est en totale inadéquation avec le fait même de mettre des mots de passes. Et oui les géants de l'informatiques travail à proposer des solutions bien plus adaptés pour ces contraintes.
avatar bugman | 
@ debione : "Et vivement que l'on vire de l'usage courant tout ce qui n'est pas nécessaire aux utilisationx basiques' C'est pas méchant (ne le prend pas comme tel) mais... vas te faire mettre ! :) Qu'elle retourne à son iPad ta Michu (c'est si compliqué ?) et qu'elle me foute la paix (qu'elle arrête de squatter mon jardin déjà... c'est pas qu'elle gène, prend trop de la place... non... elle fait juste trop de bruit et va finir par nous empêcher de bosser avec ces "moi je...") ! (tout comme elle) Moi je... moi je... l'emmerde. Qu'elle (et ses copains) l'incruste(nt) bien profond dans le crâne. Si c'est une guerre, que les choses soient claires (Guerre Thermo-Mé(na)gères de moins de 50 ans ou pas) ! On était les premiers... on sera les derniers ! En gros qu'ils arrêtent de nous casser les couilles avec leurs petites personnes voulant jouer avec des outils qu'ils sont incapables (par choix) d'utiliser !
avatar debione | 
@Bugman: Je fais juste un constat, c'est tout (bon si en même temps je peux aller me faire mettre j'espère qu'il sera bien membré, tant qu'à faire ^^). Perso je fais du montage vidéo et je touche un peu à la musique, et une partie de mes gains viennes de là donc voilà... Ce qui ne m'empêche pas de faire le constat que l'informatique est 100 fois plus compliquée maintenant que lorsque j'ai fait mes premières armes sur mon vic20, et que les choses sont complètement disproportionnée en rapport à l'usage de la majorité des gens... Et que si les gens payaient uniquement ce dont ils ont besoin, Mme Michu (et le 90% des utilisateurs) payeraient leurs machines 2 fois moins cher... Et les gens comme moi 2X plus... Mais ce ne serait que logique...
avatar bugman | 
@ debione : "j'espère qu'il sera bien membré" Je te le souhaite si tu y tiens (mais pour moi, je le répète, c'était à prendre au second degré). Encore une fois, Apple (Jobs) s'est prit la tête pour sortir des machines pour ce genre d'utilisation (lambda... c'est pas un gros mot). Pourquoi ne pas en profiter ? Je me base juste pour ma réponse sur ta phrase citée plus haut ("Et vivement que l'on vire de l'usage courant tout ce qui n'est pas nécessaire aux utilisationx basiques'') Suis pas trop d'accord. :/ Si, encore, aucune solution n'était proposée ! Ce qui n'est pas le cas...
avatar lmouillart | 
@debione tu as parfaitement raison, c'est ces utilisateurs que cible Google avec Google Account et les Chromebook : une machine à jour, abordable, pas d’installation, pas de backup, pas 50 mots de passes. Reste à convaincre les partenaires pour Google Account et/ou ce que proposera FIDO.
avatar debione | 
@Bugman Ah mais ma réponse aussi était au second degré :) Je l'avais pas du tout pris mal (en même temps c'était difficile de le prendre mal vu comme tu l'as formulé... Tu vois, perso j'aimerais bien n'avoir à faire aucune configuration quand j'utilise des logiciels video ou mao, que le programme (ou plutôt l'os) "sache" détecter par exemple la chaine de 6DD que j'ai et y dépose automatiquement sur le DD le plus approprié en fonction de l'usage (entre les DD simple, ceux en raid0 et ceux en raid1), que tout soit détecté automatiquement etc etc... Aucune solution simple n'existe, de ce côté là, c'est un bordel sans nom, je passe plus de temps à configurer et à remettre en place les choses qu'à réellement travailler (c'est l'impression que j'ai)
avatar bugman | 
@débine, je comprend mieux (et pas vraiment 'lambda' ta problématique). C'est compliqué… Pour de la production, il me semble important que l'utilisateur puisse avoir des choix (format, emplacement). Sur tes 6 DD, savoir "quoi est où" doit certainement t'aider à mieux retrouver tes petits… le contraire te forcerait à chercher (donc t'adapter, toi) où se trouve les fichiers, voir les déplacer (suivant tes usages). Quelque part, je ne sais pas si cela est mieux. Tu as (nous avons) la chance d'avoir ces choix aujourd'hui… sans obligation de sauvegarder là sur ce DD (et non pas sur celui que je viens de brancher pour mon projet), avec du 24 bits 192 kHz (et non comme on pourrait (devrait ?) me l'imposer le 44,1 de Mme Michu). ;) Le choix (même si c'est lourd) à d'énormes avantages... mais pas pour tout le monde en effet. Il ne faut pas vouloir éradiquer des solutions... en proposer d'autres me semble un meilleur choix.
avatar debione | 
@Bugman: Je pense sincèrement que ce serait mieux... Le seul truc ou j'ai des milliers de fichiers qui ressemble à quelque chose est iTunes et son classement automatique... Le reste non justement je ne retrouve plus mes petits ;) Enfin si j'arrive à retrouver ou est quoi, mais le temps passé à classer les 600 prises vidéos, à devoir manuellement bien regarder à quel taux de remplissage sont mes DD avant de derush etc etc, à instaurer des DD de sauvegarde, d'autre de travail, d'autre pour le son etc etc Bref je rêve d'un truc tout automatique ou je puisse complètement abandonner l'aspect technique pour juste me concentrer sur l'aspect artistique, car je ne veux pas être un technicien (et pour l'instant l'impression c'est que je dois être à 50% technicien pour pouvoir exprimer l'aspect artistique... que de temps perdu)

Pages

CONNEXION UTILISATEUR