Une alliance de géants déclare la guerre aux mots de passe

madalena

Contributeur
Contributeur
salam

Une alliance de chefs de file en technologies, qui inclut Google, BlackBerry et Microsoft, promet d’éradiquer les mots de passe.

.http://www.directioninformatique.com/wp-content/uploads/2014/01/securite_ecran_tactile.jpg

IT World Canada rapporte que ces entreprises considèrent les mots de passe comme étant les points les plus faibles de la sécurité en technologies de l’information (TI), étant donné que les gens échouent à en créer qui sont sécuritaires, qu’ils les oublient, qu’ils ne les changent pas régulièrement et qu’ils les cèdent à l’hameçonnage.

Dans ce contexte, le groupe Fast Identity Online Alliance (FIDO) a dévoilé des spécifications techniques ouvertes qui visent à venir à bout des mots de passe grâce à l’authentification biométrique (empreintes digitales, yeux, voix) et aux jetons d’authentification de matériel.

« L’alliance espère que son protocole sera adopté et répandu par les vendeurs de matériel et de logiciels, ainsi que par les fournisseurs de services infonuagiques, pour accéder à tout, que ce soit des sites de commerce numérique, des appareils mobiles, des serveurs ou des logiciels clients », explique IT World.

FIDO parle de son initiative comme étant un « accomplissement qui définira le point dans le temps lors duquel l’ancien ordre mondial des mots de passe et des numéros d’identification personnel a commencé à dépérir et à mourir ».

Les membres de l’alliance incluent, entre autres, Samsung, RSA, Qualcomm, ARM Holdings, Lenovo, SecureKey, Bank of America, PayPal et Visa.

http://www.directioninformatique.co...nts-declare-la-guerre-aux-mots-de-passe/32290
 

Pièces jointes

  • securite_ecran_tactile.jpg
    securite_ecran_tactile.jpg
    84.5 KB · Affichages: 0

farid_h

<defunct>
Contributeur
Tu veux dire que c’est en partie pour échapper aux intrusions de la NSA ?
Au contraire. Quand tous les credentials sont concentre sur un petit nombre de serveurs, la NSA peut acceder a ces mots de passe directement en telechargeant la banque de donnees de ces serveurs. Meme s'ils n'ont pas de backdoor vers ces serveurs (et j'en doute fortement), c'est trivial pour eux d'intercepter et decrypter toutes les connexions de et vers ces serveurs. C'est pour eux infiniment pkus facile d'intercepter 5 serveurs, que de devoir intercepter chaque mot de passe enregistre localement sur un PC de particuliers.

Et une autre chose: la NSA peut faire du traffic analysis tres effectif en observant la frequence et les horaires des gens qui s'authentifient avec ce systeme centralise.
 

Hibou57

Comme-même (tm)
VIB
Au contraire. Quand tous les credentials sont concentre sur un petit nombre de serveurs, la NSA peut acceder a ces mots de passe directement en telechargeant la banque de donnees de ces serveurs.
Mais ils disent qu’il n’y aura plus de mots de passe : remplacé par des identités biométriques et identités des matériels.
 

farid_h

<defunct>
Contributeur
Mais ils disent qu’il n’y aura plus de mots de passe : remplacé par des identités biométriques et identités des matériels.
Mots de passe dans un sense elargi.

Supposes que tu t'identifies biometriquement via un service centralise comme passeport. Une foi authentifie, ce service va te connecter aux sites qui t'interessent en utilisant des mots de passe classiques ou avec un master-mot de passe.

La NSA peut intervenir a plusieurs niveaux:

- elle sait quand tu t'authentifies
- elle sait avec quels credentials (bio, phys, ...)
- elle sait quels sites web sont contactes
- elle observe les mots de passe internes

La NSA peut prendre / assumer ton identite en

- se connectant au service d'authentication
- forgeant les mots de passe internes
- ayant une copie de la banque de donnees du servicevd'authentication
- forceant par sub poena ce service d'authentifier un ordinateur de la NSA a la place du tien (ces servises sontbsous juridiction US)
- ...

Ce que la NSA pouvait deja faire auparavent, elle peut le faire encore plus facilement avec un service d'authentication centralise qui se trouve dans la juridiction US.
 

farid_h

<defunct>
Contributeur
Hehe not THAT suprising tho ^^
Bein oui. Consideres ca d'un point de vue de la NSA: ils ont une banque de donnees mondiale d'empreintes digitales (sur les passeports), et ils ont besoin d'associations verifiees de ces identites souveraines/primaires avec les differents comptes sur Internet, dans les banques etc. Pour l'instant, cette association n'est qu'approximative, car basee sur les noms. Elle sera complete quand elle sera basee sur les nouveaux mechanismes.

Edit: ou, pour le formuler plus concretement... la NSA saura qui se cache derriere le pseudo PureMinded le moment meme ou Bladi decide de ne plus utiliser le systeme actuel et d'utiliser des mechanismes biometriques. Meme si Bladi ne saura pas a qui appartiennent les donnees biometriques, NSA & Co. le sauront avec certitude.
 
Dernière édition:
Haut