Journée mondiale du mot de passe : quelles alternatives ?
La Journée mondiale des mots de passe a lieu chaque année le premier jeudi du mois de mai. Elle appelle à utiliser des mots de passe forts, dans le meilleur des cas une authentification à deux facteurs, et à faire preuve de responsabilité dans l'utilisation des données d'accès. Cinq alternatives aux mots de passe.
Authentification biométrique, "Zero Login" basé sur des modèles de comportement individuels, implants de micropuces, connexion par ondes cérébrales ("Brain Password") ou solutions d'authentification basées sur l'ADN, telles sont les alternatives aux mots de passe selon les experts en cybersécurité de BullGuard.
Le risque lié aux mots de passe
Les piratages ou fuites de données de grande ampleur, au cours desquels des millions de données - y compris des mots de passe - sont révélées ou volées, ne sont pas rares. Sur le Darknet, le marché illégal des données d'accès et des mots de passe est florissant. Le "credential stuffing" est une arnaque très prisée pour l'utilisation de données de tiers. Il s'agit de tester automatiquement les adresses e-mail et les mots de passe sur les plateformes en ligne courantes à l'aide d'un logiciel spécial jusqu'à ce qu'il y ait une correspondance. Cela signifie-t-il à long terme la fin du mot de passe ? Comment s'authentifiera-t-on dans cinq ans ? Il existe déjà aujourd'hui quelques méthodes alternatives de connexion sécurisée, et en même temps, la recherche trouve toujours de nouvelles voies et possibilités. Les cinq alternatives au mot de passe sont présentées ci-dessous :
- Données biométriques
Le scanner de rétines, le capteur d'empreintes digitales, la reconnaissance vocale et la reconnaissance faciale sont désormais les applications les plus courantes de l'authentification ID. L'identification par reconnaissance des empreintes digitales et du visage est la plus répandue. Ainsi, certains prestataires de services financiers permettent déjà d'associer un selfie à une carte EC ou de crédit. L'authentification biométrique présente toutefois un point faible décisif : chacun ne dispose que d'un visage, de deux rétines et de dix empreintes digitales. Elles constituent en quelque sorte le mot de passe qui ne peut pas être réinitialisé en cas de compromission. En 2015, par exemple, une base de données contenant les empreintes digitales de 5,6 millions d'employés fédéraux américains a été piratée.
- Connexion zéro
La connexion zéro est l'utilisation de caractéristiques comportementales uniques, telles que les modèles de frappe individuels, la pression exercée sur l'écran ou les touches, ainsi que la localisation et la profession, pour vérifier l'identité. Sur la base de ces caractéristiques, les utilisateurs peuvent accéder à des applications et à des services en ligne sans s'identifier activement. Ce n'est que si un modèle diffère de celui de l'utilisateur que l'appareil demandera un mot de passe ou une autre authentification. Le problème ici est le suivant : la déconnexion a-t-elle été réussie ? On ne sait pas non plus où sont stockées les données comportementales collectées et comment elles sont protégées.
- Implants à micropuce
Se faire implanter une puce électronique sous la peau, qui correspond à un mot de passe ou à une clé, n'est pas une idée nouvelle. Mais depuis peu, quelques entreprises proposent cette option à leurs employés. Les mots de passe et les clés deviennent superflus avec la micropuce. Les portes, tout comme les ordinateurs, peuvent être ouverts ou utilisés en scannant la main munie d'une puce.
- Mot de passe du cerveau
Le "Brain Password" est un affichage numérique de l'activité cérébrale pendant que l'on regarde une série d'images et d'objets différents. Tout d'abord, les données du passeport, les empreintes digitales ou un scan du visage sont demandés pour l'identification. Ensuite, l'activité cérébrale est mesurée en réponse à certains stimuli à l'aide de capteurs. Il en résulte une structure cérébrale unique, qui constitue un mot de passe cérébral - unique et non réplicable.
- Identification par l'ADN
L'identification par l'ADN est également réaliste : au Qatar et en Estonie, les valeurs ADN des citoyens sont déjà collectées afin de détecter et de prévenir des problèmes de santé potentiels. Sur des plateformes de médias sociaux comme OpenSNP, les utilisateurs partagent publiquement leur ADN à des fins scientifiques. Utiliser l'ADN personnel comme caractéristique pour l'authentification n'est alors plus très loin.
Alternatives - la problématique reste pratiquement la même
A l'heure actuelle, il est difficile de savoir laquelle des alternatives présentées s'imposera. Mais il est d'ores et déjà clair qu'elles ont toutes un défaut majeur : Il n'y a aucune garantie que les données soient stockées en toute sécurité et protégées contre les attaques de pirates. La problématique reste donc la même. La seule différence réside dans le fait qu'il est presque impossible d'imiter les nouvelles méthodes d'authentification.
Paul Lipman, CEO de BullGuard, s'attend à une croissance de l'importance des caractéristiques biométriques : "Les mots de passe continueront à jouer un rôle à l'avenir. Ils seront toutefois complétés par d'autres caractéristiques de sécurité comme l'identification biométrique et l'authentification à deux facteurs".
Un mot de passe différent pour chaque compte
Même si d'autres niveaux de sécurité sont introduits à l'avenir, les exigences élevées en matière de mots de passe demeurent. Il est donc toujours important de choisir un mot de passe fort pour chaque compte et de le changer régulièrement. Un bon mot de passe comprend au moins dix caractères et est une combinaison difficile à comprendre de chiffres, de lettres et de symboles. La Journée mondiale du mot de passe a donc toute sa raison d'être, même à l'heure des empreintes digitales et de la reconnaissance faciale.
Source : BullGuard