« Comme beaucoup de personnes dans l'industrie, nous pensons que les mots de passe et les conteneurs de certificats comme les cookies ne sont plus assez efficaces pour protéger les internautes. » C'est à partir de ce constat que deux employés de Google proposent une solution pour remplacer les mots de passe dans un article publié dans la revue spécialisée IEEE Security & Privacy.
Eric Grosse et Mayank Upadhyay, respectivement vice-président de la sécurité et ingénieur, militent pour une solution matérielle similaire à la YubiKey, un accessoire qui ressemble à une toute petite clé USB. Cette clé chiffrée vient s'enficher dans un port USB et génère des OTP (one time password) pour s'identifier à un site. Pour que ce dispositif fonctionne, des changements sont à réaliser du côté du navigateur mais il ne nécessite pas l'installation d'un logiciel tiers. Les deux hommes ont développé à cet effet un protocole, indépendant de Google, pour s'authentifier grâce à un périphérique.
Et les deux employés de Google de voir plus loin : « Nous aimerions que votre smartphone ou qu'une carte à puce intégrée à votre bague puisse autoriser un nouvel ordinateur via un tap sur la machine, même dans les situations où votre téléphone est sans connexion ».
Le journal du lapin a récemment testé l'authentification sur OS X avec une carte d'identité belge (celle-ci est équipée d'une puce électronique). Avec un lecteur de carte qui va bien, l'authentification est assez simple à réaliser sous Leopard et Snow Leopard. Reste que cette méthode présente toujours des carences inévitables, comme la perte ou le vol du périphérique qui sert de clé d'accès.
Sur le même sujet :
- Sécurité : l'intenable défi
- Mots de passe : rappel de quelques conseils
Eric Grosse et Mayank Upadhyay, respectivement vice-président de la sécurité et ingénieur, militent pour une solution matérielle similaire à la YubiKey, un accessoire qui ressemble à une toute petite clé USB. Cette clé chiffrée vient s'enficher dans un port USB et génère des OTP (one time password) pour s'identifier à un site. Pour que ce dispositif fonctionne, des changements sont à réaliser du côté du navigateur mais il ne nécessite pas l'installation d'un logiciel tiers. Les deux hommes ont développé à cet effet un protocole, indépendant de Google, pour s'authentifier grâce à un périphérique.
Et les deux employés de Google de voir plus loin : « Nous aimerions que votre smartphone ou qu'une carte à puce intégrée à votre bague puisse autoriser un nouvel ordinateur via un tap sur la machine, même dans les situations où votre téléphone est sans connexion ».
Le journal du lapin a récemment testé l'authentification sur OS X avec une carte d'identité belge (celle-ci est équipée d'une puce électronique). Avec un lecteur de carte qui va bien, l'authentification est assez simple à réaliser sous Leopard et Snow Leopard. Reste que cette méthode présente toujours des carences inévitables, comme la perte ou le vol du périphérique qui sert de clé d'accès.
Sur le même sujet :
- Sécurité : l'intenable défi
- Mots de passe : rappel de quelques conseils
