Les mots de passe peuvent parfois ressembler à une invention conçue pour nous frustrer lorsque nous les oublions. Si on ne nous dit pas que notre mot de passe n'est pas assez fort, alors nous sommes désespérés après avoir découvert que nos mots de passe ont été volés dans une autre violation de données.
La sécurité des mots de passe peut sembler être une bataille sans fin, mais heureusement pour nous, certaines personnes se penchent sur le problème et travaillent pour rendre nos vies plus confortables et plus sûres.
Depuis près d'un demi-siècle, l'identification biométrique est un incontournable des films de science-fiction et d'action. Dans ces mondes fictifs, il suffit à quelqu'un de jeter un coup d'œil sur un scanner d'iris ou de placer son empreinte digitale pour être identifié. Ces dernières années, la technologie du monde réel a commencé à rattraper les films, et maintenant même la plupart des smartphones sont équipés d'un capteur d'empreintes digitales.
Les entreprises de sécurité sont désireuses de commercialiser l'identification biométrique comme un "tueur de mot de passe", mais cela laisse de côté que la biométrie introduit plusieurs autres problèmes de sécurité. Cependant, si les chercheurs parviennent à leurs fins, nous pourrions bientôt nous retrouver à nous connecter à des comptes avec l'identifiant le plus sécurisé de tous :nos esprits.
En 2015, une équipe de chercheurs de l'Université de Binghamton a découvert [PDF] qu'en utilisant un EEG pour mesurer la réponse du participant à une chaîne de texte, ils pouvaient créer une empreinte cérébrale personnelle. Cette empreinte cérébrale était unique pour chaque personne et pouvait être utilisée pour identifier de manière fiable et précise un individu spécifique, même jusqu'à six mois plus tard.
L'étude originale de 2015 avait une précision de 82 à 97 %, mais d'autres recherches ont montré que ce chiffre peut augmenter jusqu'à une précision étonnante de 100 %.
Ceci est d'autant plus impressionnant qu'ils ont ajouté une autre couche de complexité en incorporant des images à côté du texte pour former l'empreinte cérébrale. Bien que vous ne vous attachiez peut-être pas à un EEG pour vous connecter à votre banque en ligne de sitôt, l'empreinte cérébrale pourrait être la prochaine technologie pour faire le saut de la science-fiction à la réalité.
La biométrie peut jouer un rôle dans un avenir sans mot de passe, mais l'adoption massive est un défi en raison des risques de se transformer en une dystopie de science-fiction.
Vous avez probablement même vu cela en action lors de la configuration du lecteur d'empreintes digitales de votre téléphone --- devoir s'inscrire à chaque service n'est pas seulement un problème, mais augmente le risque si l'un de ces services est compromis. Et ce n'est pas comme si vous pouviez facilement remplacer votre empreinte digitale.
Ce problème n'est pas passé inaperçu, en particulier par les chercheurs du laboratoire informatique de l'Université de Cambridge dirigé par Frank Stajano. Ils ont développé un dispositif d'authentification suffisamment petit pour tenir dans votre poche appelé Pico.
Stajano a présenté le concept pour la première fois dans un article de 2011 intitulé « Pico :plus de mots de passe ! » [PDF]. Dans les années qui ont suivi, le Pico est passé de la théorie à la réalité. En 2017, l'appareil a été testé comme une connexion alternative pour le site Web Gyazo.
Transporter un périphérique matériel avec vous n'est pas un nouveau concept radical --- c'est, après tout, la pierre angulaire de l'authentification à deux facteurs --- mais le Pico a un argument de vente unique. Plutôt que de complimenter le mot de passe, le Pico espère éliminer complètement les mots de passe.
Cependant, comme exploré dans leur article de 2017, l'interopérabilité et l'adoption sont des problèmes difficiles à surmonter. Si l'adoption est l'un des obstacles les plus importants, pourquoi ne pas utiliser un appareil que tout le monde a déjà sur soi :son smartphone ?
C'est précisément ce que Yoti, basé au Royaume-Uni, prévoit de faire. Selon leur site Web, ils sont "en mission pour devenir la plate-forme d'identité de confiance au monde" avec leur système d'identification basé sur le mobile. Téléchargez l'application, entrez vos coordonnées et une pièce d'identité émise par le gouvernement, ainsi qu'un selfie, et Yoti vérifiera votre identité.
Votre identité est cryptée et accessible uniquement via leur application. Si une entreprise a besoin de confirmer qui vous êtes, c'est aussi simple que de scanner un code QR. Début 2018, Yoti a levé 8 millions de livres sterling supplémentaires (10,7 millions de dollars) de financement, qu'ils prévoient d'utiliser pour atteindre deux millions d'utilisateurs d'ici la fin de l'année.
Il se passe à peine un jour sans qu'une application ou un site Web ne soit piraté. Il est inquiétant que ces organisations semblent incapables de se protéger, mais plus inquiétant encore, elles ne sont pas en mesure de protéger vos données.
Parmi les exemples récents de haut niveau, citons Dropbox, Uber et Yahoo. En supposant que vous les ayez évités, vous avez peut-être été pris dans le dépotoir public de 560 millions de mots de passe. Si vous êtes submergé par l'assaut apparemment constant des violations de mot de passe, vous n'êtes pas seul --- le chercheur en sécurité Troy Hunt pense la même chose.
En 2013, Hunt a lancé son site Web Have I Been Pwned (HIBP), qui a été développé pendant son temps libre alors qu'il travaillait pour une société pharmaceutique. Le site dispose d'une base de données consultable de plus d'un demi-milliard de mots de passe provenant de violations remontant à 2011.
Si vous pensez avoir été affecté, il vous suffit de rechercher votre adresse e-mail. S'il apparaît dans des données comprises, le site vous indiquera dans quelles violations il a été trouvé. Vous pouvez même vous abonner aux notifications si cela apparaît dans de futures fuites.
Moins de deux ans plus tard, Hunt a quitté Pfizer et a commencé à se concentrer sur son blog et HIBP à plein temps. Comme c'est désormais si courant, HIBP est l'un des meilleurs sites pour vérifier si vos comptes ont été piratés.
Le fait que HIBP soit entièrement libre d'utilisation, sans collecte de données, confère à Hunt sa crédibilité. Cela s'ajoute à son blog désormais bien établi, qui attire plus de 20 000 visiteurs uniques par jour (achetez-lui un café si vous voulez le remercier).
Les violations de données de ces dernières années ont mis en évidence à quel point les mots de passe sont inadéquats pour assurer notre sécurité à l'ère moderne. Ils ne partiront peut-être pas de si tôt, mais il y a des raisons d'être optimiste.
Pico et Yoti font des percées dans la suppression totale des mots de passe, bien qu'il faille peut-être un certain temps avant que vous puissiez commencer à utiliser les empreintes cérébrales n'importe où. Pour le moment, HIBP a récemment annoncé un partenariat avec 1Password pour vous aider à choisir de meilleurs mots de passe et à renforcer votre sécurité.
Bien que ces avancées vous rendront plus sûr à long terme, il existe plusieurs façons d'améliorer vos mots de passe dès maintenant.
Vous devez vous assurer que vous ne commettez aucune de ces erreurs de mot de passe. Au lieu de cela, concentrez-vous sur la création de mots de passe forts et inoubliables. Mieux encore, commencez à utiliser un gestionnaire de mots de passe ! Les gestionnaires de mots de passe sont l'option la plus sécurisée, point final.
Nous devons tous partager des mots de passe avec nos amis et notre famille de temps en temps. Plutôt que de les noter sur des bouts de papier, découvrez comment partager vos mots de passe en toute sécurité. De plus, la mise à jour régulière de vos mots de passe personnels vous protégera statistiquement.
Crédit image :garloon/Depositphotos