Les mots de passe en voie de disparition?
L'obligation d'utiliser des mots de passe sur le web pourrait bientôt être chose du passé, grâce à un nouveau système d'authentification créé par le World Wide Web Consortium (W3C) et la FIDO Alliance. Le système, officiellement recommandé par le W3C depuis mardi, est en voie de devenir un standard officiel sur le web.
Google, Microsoft et Firefox ont déjà indiqué qu'ils travaillent à adapter leurs fureteurs web au futur standard, qui permettrait de se connecter à des services web en utilisant divers moyens d'identification plus sécuritaires qu'un mot de passe. Apple n'a pas émis de commentaire au sujet de son propre fureteur, mais l'entreprise fait partie du groupe qui a conçu les nouvelles normes.
Le système, baptisé WebAuthn, exigerait d'utiliser des méthodes d'authentification alternatives pour se connecter à un site web, comme des appareils externes capables de communiquer avec un ordinateur (téléphone intelligent, clé USB) ou des capteurs biométriques (empreintes digitales, imagerie vidéo).
Bien qu'il y ait de nombreux problèmes de sécurité sur le web que nous ne pouvons régler, se fier sur des mots de passe constitue l'un des maillons les plus faibles. Avec WebAuthn, nous éliminons ce maillon faible.
Un utilisateur pourrait par exemple entrer son nom d'utilisateur sur un site web avec son ordinateur, ce qui enverrait une alerte vers son téléphone intelligent. Il pourrait alors cliquer sur l'alerte de son téléphone pour que l'ordinateur complète sa connexion au site.
Comme WebAuthn génère une clé de connexion unique à chaque requête, ce système éviterait aussi l'utilisation d'un mot de passe unique pour plusieurs sites web, une pratique répandue, mais fortement déconseillée.
Les méthodes d'authentification proposées par WebAuthn sont considérées comme largement plus sécuritaires que l'utilisation d'un mot de passe. Le W3C et la FIDO Alliance estiment que WebAuthn a le potentiel de réduire à presque zéro les attaques d'hameçonnage, qui sont la source de nombreux vols d'identité et fraudes sur Internet.
Source : SRC