Google  a décidé d'aider les utilisateurs à protéger leurs comptes contre des mots  de passe compromis en ajoutant le support  de la double authentification via une clé USB physique baptisée Security Key. Cette fonctionnalité étend le mécanisme 2-Step Verification proposé par la firme qui existe actuellement pour les comptes Google, et qui oblige les utilisateurs à saisir des codes à usage unique reçus par SMS ou générés par une application mobile lorsqu'ils se connectent à  à partir d'un autre terminal.  « Aujourd'hui, nous ajoutons encore plus de protection pour les internautes qui sont particulièrement sensibles à la sécurité », a déclaré Nishit Shah, responsable des produits chez Google Security, dans un billet de blog. « La Security Key est  une clé USB physique qui ne fonctionne qu'après avoir vérifié que le site sur lequel on se connecte est vraiment un site de Google, et non pas un faux site se faisant passer pour Google », a-t-il  précisé. « Pour le moment, elle ne fonctionne qu'avec la version 38 de Chrome ou plus récente », a-t-il exposé. « En démarrant avec cette version, le navigateur a intégré le support pour un protocole ouvert appelé Universal 2nd Factor (U2F) qui a été développé par l'Alliance FIDO, une association multi-fournisseurs axée sur le développement des protocoles d'authentification qui réduisent la dépendance sur les mots de passe.
Utilisation de la cryptographie contre le phishing
La bonne nouvelle, c'est que depuis  que le protocole est supporté par Chrome, les sites autres peuvent l'utiliser pour fournir de solides  options d'authentification à leurs utilisateurs. «Alors que de plus en plus de sites et de navigateurs montent à bord, les utilisateurs sensibles à la sécurité peuvent transporte une Security Key  unique qui fonctionne partout où FIDO U2F est pris en charge », a indiqué le représentant de Google Security. La Security Key fait plus qu'authentifier l'utilisateur. Elle utilise également la cryptographie pour s'assurer que le site qu'un internaute essaie d'utiliser est  effectivement réel et non une page de phishing. Le système de double authentification, qui est basé sur des codes à usage unique, est plus puissant que l'authentification à base de mot de passe simple, mais il est encore sensible aux attaques de phishing. Les utilisateurs peuvent être dupés en entrant à la fois leurs mots de passe et  leurs codes de temporaires double facteur  sur un faux site, ce qui permet aux attaquants de contourner cette protection.
Les utilisateurs qui veulent commencer à utiliser cette nouvelle méthode d'authentification peuvent se procurer une Security Key auprès de l'un des fournisseurs qui les produisent. Disponibles sur commande sur Amazon.com et éventuellement sur d'autres boutiques en ligne, elles  doivent comporter le logo « FIDO U2F Ready». Leur prix varie de 6 à 50 dollars HT.