Google travaillerait sur une identification matérielle pour remplacer le mot de passe
Un article dans un magazine de l'IEEE montre que Google planche sur un substitut matériel à la problématique de l'authentification par mot de passe.
La mort du mot de passe et des identifiants passera selon Google par une solution hardware. Les ingénieurs de la firme de Mountain View ont testé plusieurs matériels qui agiraient comme une clé pour l'accès aux services en ligne. Une bague numérique autour du doigt, une clé USB chiffrée ou un token dans les smartphones, sont parmi les solutions proposées.
Eric Gosse, vice-président de la sécurité de Google et Mayank Upadhyay, ingénieur, ont présenté ces propositions dans un document de recherche publié dans le magazine Security & Privacy de l'IEEE de janvier. L'idée derrière ces tests est d'empêcher les pirates d'accéder aux comptes par le biais de mots de passe volés.
Certains services web offrent déjà ce type de sécurité à travers deux étapes d'authentification. Par exemple, lorsqu'on se connecte à Gmail sur un PC non reconnu, Google peut envoyer par SMS avec un code de validation. Ce processus de double authentification peut être long pour valider l'ensemble des ordinateurs et s'avère compliquer quand le téléphone est hors connexion. Un dispositif physique, idéalement doté d'une connectivité sans fil, rendrait ce processus plus facile. « Nous aimerions que votre smartphone ou votre bague numérique puissent valider un ordinateur via une simple tape dessus, même quand le téléphone est hors couverture » écrivent les experts de Google.
Des défis de sécurité propres au hardware
L'arrivée de ces périphériques pose quelques défis, comme la sauvegarde de l'authentification en cas de perte ou d'endommagement de l'appareil. Par ailleurs, si le dispositif permet de se protéger contre des pirates, est-ce qu'il ne sera pas plus facile à voler par les conjoints, les collègues de bureau ou les enfants ? Les spécialistes de Google admettent qu'ils auront encore besoin des mots de passe, mais ces derniers ne devront pas aussi complexes qu'aujourd'hui. De plus, tout le monde ne voudra pas porter une bague ou utilise un téléphone pour valider un ordinateur. Par ailleurs, les développeurs devront être associés à cette démarche. De même, il faudra prendre en compte les services comme la « sélection de comptes », qui permet à des petits sites de s'authentifier avec son compte Facebook ou Google. Un moyen pour éviter de retenir plusieurs mots de passe.
Google n'est pas la seule société à s'intéresser au remplacement des mots de passe. En 2012, Apple a acheté AuthenTec, spécialisée dans la lecture des empreintes digitales. Des rumeurs sont nées sur l'intégration d'un tel procédé dans les futurs iPhone.