Beaucoup de sociétés cherchent à en finir avec les mots de passe. En juillet 2012, une initiative baptisée FIDO (Fast Identity Online) a été créée. Elle a pour but de développer des spécifications de plug-ins pour les terminaux et les navigateurs afin qu'elles soient adoptées par l'ensemble de l'industrie. Parmi les membres de cette alliance, on compte Google, MasterCard, Lenovo, LG et Microsoft qui vient d'y faire son entrée.
Les logiciels et le matériel d'authentification sont nombreux avec différents clients et protocoles propriétaires. FIDO milite pour une standardisation des technologies d'authentification pour aboutir à une meilleure interopérabilité dans la biométrie, le PIN (Personnal Identification Number) et d'autres solutions secondaires. Les noms d'utilisateurs et les mots de passe sont souvent demandés pour les services en ligne, mais ils sont faciles à intercepter. Les experts en sécurité informatique ont depuis longtemps averti des faiblesses des mots de passe, notamment au sujet de leur simplicité et leur répétition. Le seul problème est que trouver une solution pour remplacer les mots de passe est un challenge difficile, car elle doit être efficace et simple pour les utilisateurs.
FIDO envisage d'installer un logiciel sur les ordinateurs qui utilisent le chiffrement à clé publique pour authentifier les utilisateurs. Tous les principaux navigateurs web seront supportés. L'accent est donc mis sur la sécurisation de l'accès aux applications via des navigateurs. L'alliance prévoit aussi des options d'authentification pour les smartphones Android et probablement sur les tablettes Windows et les terminaux Apple. L'alliance Fido devra proposer son protocole aux autorités de standardisation du web comme l'IETF (Internet Engineering Task Force) et le W3C (World Wide Web Consortium)
Microsoft s'implique dans la fin du mot de passe
3
Réactions
La firme de Redmond a rejoint l'alliance FIDO, qui regroupe différentes entreprises pour trouver une alternative aux mots de passe, considérés comme un maillon faible de la sécurité sur le web.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Un autre problème proche mais différent de celui de l'authentification est celui de l'identification.
Signaler un abusIl existe déjà les certificats numériques mais pas de protocoles standard supportés par tous les navigateurs. Ainsi, pour signer des documents en ligne par exemple, il est nécessaire de passer par des solutions propriétaires (souvent basées sur des applets java ou des contrôles activex pour ie) dont il impossible d'etablir un réel degré de confiance.
Je pense qu'il y a un réel besoin d'un standard dans ce domaine aussi.
@Visiteur3638 Un standard ouvert est par définition un document public (même si son accès peut être payant) et son implantation est la discrétion de tous ceux qui souhaitent faire le travail (il est fort à parier qu'il y aura des implantations open-source). Par définition, il ne peut pas y avoir de backdoor, cette notion n'a d'ailleurs pas de sens pour un standard. En revanche il peut y avoir des vulnérabilités mais c'est autre chose.
Signaler un abusQuoi qu'il en soit ce sera sans doute une amélioration aux systèmes actuels pour lesquels il est impossible de connaître le degré de confiance à leur attribuer. Le nombre de sites web qui stockent les mot de passent en clair ou avec une faible protection... Le nombre de,personnes qui utilisent le même mot de passe sur plusieurs sites... : dernièrement 38 millions de comptes adobe piratés, Facebook à dû bloquer d'office les comptes de ses utilisateurs qui utlisaient manifestement le même login/mot de passe
Franchement qui aura confiance dans FIDO? Tous les participants (google, microsoft...) sont soumis au Patriot Act, bonjour les backdoors qu'ils vont se partager.
Signaler un abusBref c'est pas demain que je l'utiliserai.