Un nouveau standard pourrait mettre fin aux mots de passe sur le Web

“Erreur : votre mot de passe doit comporter au moins 8 caractères et au moins une majuscule et un caractère numérique.” Fini ce message avec ce nouveau protocole de protection et d’identification sur Internet promu par le W3C et qui pourrait donc devenir un standard universel. 

FIDO Alliance et le W3C annonce avoir franchi une étape importante dans les efforts mondiaux pour une authentification simplifiée et renforcée sur le Web.

Avec le support de Google Chrome, Microsoft Edge et Mozilla Firefox, le projet FIDO2 ouvre une nouvelle ère d’authentification forte et résistante au phishing pour protéger les internautes dans le monde entier, avec le standard WebAuthn.

Le principe est simple, permettre d’utiliser des certificats électroniques tirant partie de la biométrie (empreinte et reconnaissance faciale) présente notamment sur les smartphones pour remplacer l’authentification par mot de passe.

Un des avantages serait que les sites n’aurait plus besoin de stocker les mots de passe de ses utilisateurs dans une base de données. Les informations d’identification de l’utilisateur et les modèles biométriques ne quittent jamais l’appareil de l’utilisateur et ne sont jamais stockés sur les serveurs. L’authentification se ferait par un système de clé publique et de clé privée, un message sera envoyé, signé avec la clé privée qui sera validé côté site par la clé publique et permettra l’authentification.  

Seul inconvénient, avec cette technologie qui permet de se passer de mot de passe il faudra avoir à portée de main un terminal permettant l’authentification. 

 
 
source : ZDNet

Publié le par
Partager sur Google + Partager sur Twitter Partager sur Facebook Alertes mail Partager
COMMENTAIRES DES LECTEURS (35)
Afficher les 29 premiers commentaires...
Posté le 13 avril 2018 à 12h22

Alors d'une part andouille n'a jamais été une insulte, en revanche toi tu m'insultes. Ensuite ton token, il faut l'acheter non ? Donc tu obliges bien les gens à acheter du matos juste pour pouvoir aller sur des sites internet. Tu te rends compte de la chose ? Tu OBLIGES a DEPENSER du fric pour un appareil qui comme tout les appareils du genre (Blizzard l'a fait, EA pour SWTOR l'a fait) n'a qu'une durée de vie, une fois mort si tu n'as pas noté la clé au départ ben tu es mort faut faire supprimer la clé et utiliser la nouvelle fournie par l'appareil (sinon tu peux restaurer l'ancienne clé si tu l'as notée).

Sauf que là on te parle pas de quelques sites ou jeux vidéos, mais de TOUT les sites internet (et certainement jeux vidéo au passage voir logiciels qui demandes une identification etc.), de faire la même chose. Autrement dit si ton appareil viens à crever, d'une part tu en rachètes un mais en plus, si tu n'es pas noté l'ancienne clé, tu es bon pour utiliser la nouvelle donc comment tu fais pour te connecter sur un site (n'importe lequel) qui serait en contact avec la base centralisée pour remplacer l'ancienne clé ?

Ben là tu appels le support (le support de cette base centralisée ? Ca va coûter combien encore cette merde ? Combien de temps d'attente pour joindre le support ?) pour faire supprimer l'ancienne clé et associée donc ensuite la nouvelle et enfin retrouver ton compte sur les différents sites.

Si EA comme Blizzard ont abandonné cet appareil fournissant le dit "token" (c'est ni plus ni moins qu'une double authentification comme je l'ai cité tout à l'heure avec le Google Authenticator) au profit de l'application mobile, tout simplement parce que la durée de vie de ces appareils est faible et le client doit en racheter un par la suite ce qui n'est pas génial alros qu'avec l'application rien à acheter c'est gratos.

Je dirais même que EA utilisait son propre authenticator pour SWTOR, selon son propre truc, et finalement ils ont abandonné pour passer sur la norme utilisée par le Google Authenticator, ce qui fait que cette application (et toute application ou logiciel travaillant avec cette RFC), peut aussi générer et/ou gérer une clé pour SWTOR.

Bref, l'appareil physique c'est loin d'être l'idéal, et si tu n'as pas de smartphone je reste sur le fait que tu es dans la merde d'où leur idée de ce matos qu'il te faut acheter obligatoirement ; hors pas idéal non plus, car tu vas obligé les utilisateurs à acheter un appareil juste pour aller sur internet, comme s'ils payaient pas déjà assez de trucs.

Faut pas croire, derrière des trucs qui paraissent géniaux, des fois faut savoir voir les problèmes que cela pose. Ce standard ne doit pas devenir un standard, mais une solution alternative possible et dont les développeurs devraient être libre de les proposés sur leurs sites, sans toutefois le rendre obligatoire (et donc permettre toujours le bon vieux système d'identification classique tout simplement).

Là on te parle d'un standard, donc une obligation d'utiliser ce système, avec tout les problèmes que cela pose. Ca doit rester un choix, pas une obligation.

Posté le 13 avril 2018 à 12h56
christophedlr a écrit
Alors d'une part andouille n'a jamais été une insulte, en revanche toi tu m'insultes. Ensuite ton token, il faut l'acheter non ? Donc tu obliges bien les gens à acheter du matos juste pour pouvoir aller sur des sites internet. Tu te rends compte de la chose ? Tu OBLIGES a DEPENSER du fric pour un appareil qui comme tout les appareils du genre (Blizzard l'a fait, EA pour SWTOR l'a fait) n'a qu'une durée de vie, une fois mort si tu n'as pas noté la clé au départ ben tu es mort faut faire supprimer la clé et utiliser la nouvelle fournie par l'appareil (sinon tu peux restaurer l'ancienne clé si tu l'as notée). Sauf que là on te parle pas de quelques sites ou jeux vidéos, mais de TOUT les sites internet (et certainement jeux vidéo au passage voir logiciels qui demandes une identification etc.), de faire la même chose. Autrement dit si ton appareil viens à crever, d'une part tu en rachètes un mais en plus, si tu n'es pas noté l'ancienne clé, tu es bon pour utiliser la nouvelle donc comment tu fais pour te connecter sur un site (n'importe lequel) qui serait en contact avec la base centralisée pour remplacer l'ancienne clé ? Ben là tu appels le support (le support de cette base centralisée ? Ca va coûter combien encore cette merde ? Combien de temps d'attente pour joindre le support ?) pour faire supprimer l'ancienne clé et associée donc ensuite la nouvelle et enfin retrouver ton compte sur les différents sites. Si EA comme Blizzard ont abandonné cet appareil fournissant le dit "token" (c'est ni plus ni moins qu'une double authentification comme je l'ai cité tout à l'heure avec le Google Authenticator) au profit de l'application mobile, tout simplement parce que la durée de vie de ces appareils est faible et le client doit en racheter un par la suite ce qui n'est pas génial alros qu'avec l'application rien à acheter c'est gratos. Je dirais même que EA utilisait son propre authenticator pour SWTOR, selon son propre truc, et finalement ils ont abandonné pour passer sur la norme utilisée par le Google Authenticator, ce qui fait que cette application (et toute application ou logiciel travaillant avec cette RFC), peut aussi générer et/ou gérer une clé pour SWTOR. Bref, l'appareil physique c'est loin d'être l'idéal, et si tu n'as pas de smartphone je reste sur le fait que tu es dans la merde d'où leur idée de ce matos qu'il te faut acheter obligatoirement ; hors pas idéal non plus, car tu vas obligé les utilisateurs à acheter un appareil juste pour aller sur internet, comme s'ils payaient pas déjà assez de trucs. Faut pas croire, derrière des trucs qui paraissent géniaux, des fois faut savoir voir les problèmes que cela pose. Ce standard ne doit pas devenir un standard, mais une solution alternative possible et dont les développeurs devraient être libre de les proposés sur leurs sites, sans toutefois le rendre obligatoire (et donc permettre toujours le bon vieux système d'identification classique tout simplement). Là on te parle d'un standard, donc une obligation d'utiliser ce système, avec tout les problèmes que cela pose. Ca doit rester un choix, pas une obligation.

Oui oui, soyons sérieux, quel est le % de gens qui vont sur internet qui n’ont pas de smartphone ? La double authentification devrait être OBLIGATOIRE, qu’importe le moyen pour le faire, via un Token un smartphone ou autre, même si il y aura toujours du piratage, cette double identification réduira énormément le piratage. Quand je vois que tu peux te connecter à la plupart des banques juste avec un id et un mdp.... Et après ça pleure qu’il y a du piratage ! 

Posté le 13 avril 2018 à 13h35

Soyons encore plus sérieux, la proportion de ceux qui vont sur internet qu'avec le smartphone est plus faible que tu ne le crois. Quand à la double authentification, la rendre obligatoire NON, que tout les sites la propose OUI il le faudrait (et c'est ce que je compte faire sur mes sites et proposer à mes futurs clients pour leurs sites).

Quand aux banques, y aurait moins de piratage déjà si le code n'était pas de 4 chiffres seulement, ensuite s'ils faisaient un effort pour réellement sécurisé les choses il y aurait encore moins de soucis.

Combien actuellement il y a de sites internet qui enregistrent en dur le mot de passe ? Beaucoup hélas. Combien sont toujours au hashage MD5 obsolète depuis des lustres et dont les utilisateurs utilisent des mots du dictionnaires ou des noms propre comme mot de passe ? Hélas un très fort pourcentage là aussi.

Déjà pour une bonne sécurité, un site internet doit être fait selon le respect des standards de sécurités : failles CSRF, injection SQL et j'en passe. Quand aux password, pas moins que le SHA256, SHA512 fortement recommandé pour une bonne sécurité.

Ensuite, il faut imposer à l'utilisateur de sécurisé son mot de passe : 6 à 8 caractères minimum, chiffres/lettres (majuscules comme minuscules), caractères spéciaux (~"# etc.). Rien que là déjà le mot de passe est à minima sécurisé. Ensuite le site doit pas permettre plus de 3 à 5 essais de connexion, le mieux étant ce que fait Microsoft par exemple (ou d'autres mais assez rare hélas), c'est à dire qu'à la fin de ces essais, le compte est tout simplement bloqué.

C'est donc après à l'utilisateur (le vrai pas celui qui a tenté d'accéder au compte), de déverrouillé son compte par un moyen mis en place par le site (cela peut être un SMS comme un code généré automatiquement par le site via le un lien spécial et unique fournis dans l'e-mail par exemple).

Là on a encore de la sécurité, et je n'ai pas encore parlé de la mise en place possible (sur choix de l'utilisateur) de la fameuse double sécurité (appelé le 2fA) qui sécurise encore plus le tout.

Des moyens de sécurisés les accès, tu en as pleins, suffit que les développeurs se sortent les doigts du cul pour respecter les recommandations en matière de sécurité. Rien que pour le hashage, je suis un des rare à être passé depuis des lustres sur le SHA256 ou SHA512, même en formation on nous a appris le MD5, même pas on nous parle des problèmes de sécurités en utilisant ce type de hashage.

Ca pleure qu'il y a du piratage, car derrière le boulot n'est pas fait correctement et ont ouvre en grand les vannes en laissant les failles bien ouvertes alors qu'on sait qu'il faut les fermer.

Je signale qu'en interne, les entreprises bien souvent le responsable informatique ne génère même pas un password pour l'accès aux ordinateurs ou aux serveurs, en général le responsable IT se contente de prendre un mot du dictionnaire, que lui il a donc sous les yeux et le donne ensuite à l'employé sans lui laisser la possibilité de le modifier sur son accès. Résultat en 5 minutes, tu cracks le password et rentre dans le système.

Que les dev fassent leur boulot, que les responsable informatique fassent aussi le leur, et 80% des problèmes de piratage s'envoleront. Pas besoin de se faire chier avec des trucs à la con comme la reco faciale ou les empreintes.

Posté le 13 avril 2018 à 14h33

et si on montre son Q ça marche aussi ?

Posté le 13 avril 2018 à 23h36

Mais bien sûr! Déjà que monsieur et madame tout le monde avaient du mal avec le certificat électronique des impôts. Alors je n'ose même pas ce que cela va donner avec leur usine à gaz. Et tout ça pour se débarrasser des responsabilités et du cout de la sécurisation des mots de passe.

Et bien entendu, les gens vont applaudir des deux mains. Déjà qu'ils confient leurs mots de passe à des gestionnaires de mots de passe dont la sécurité n'a jamais été testée. On n'est pas sorti de l'auberge.

Premium

taduarial
Envoyer message
 
10310 points
Posté le 10 juillet 2018 à 16h55

ah si seulement... on en finit plus.... de ces mots de passe

RUBRIQUE COMMENTAIRE
Bonjour , avant de poster, veuillez vous assurer d'avoir pris connaissance des règles.

X

Quatre consignes avant de réagir :

  • Rester dans le cadre de l'article. Pour des discussions plus générales, vous pouvez utiliser nos forums.
  • Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
  • Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
  • Pour toute remarque concernant une faute dans l'article, merci de nous contacter exclusivement par le formulaire "signaler une erreur" lors de la sélection du texte de l'article (les commentaires portants sur ce sujet seront systématiquement supprimés).