Discussion :

[Gordon Fowler]

Sécurité : le ras-le-bol des mots de passe ouvre-t-il la porte à l'authentification ?

Une étude menée par l'institut indépendant Ponemon montre que 70 % des consommateurs déclarent être prêt à adopter de nouvelles technologies pour avoir moins d'identifiants et de mots de passe à retenir... et moins de données personnelles à divulguer.

Ces techniques vont de l'authentification des machines en ligne par un constructeur (comme les derniers modèles de portables de HP) à la bio-reconnaissance (prise d'empreinte digitale ou autre).

"A dire vrai, ces réponses m'ont un peu étonné" admet Larry Ponemon, Président fondateur du Ponemon Institute.

Le très fort pourcentage des réponses positives doit être relativisé.
L'échantillon de l'étude (551 personnes) est en effet très faible.

Pour Larry Ponemon il n'en reste pas moins "claire que les utilisateurs deviennent de plus en plus aux technologies qui permettent d'authentifier leurs machines".

Le nombre croissant de mots de passe, la plus grande mobilité des appareils - qui augmente le risque de perte - ou le rôle de plus en plus important de l'outil informatique, y compris dans les familles, rendraient ainsi plus acceptable une perte d'intimité au profit de la sécurité des données sous toutes ses formes (back-up, virus, etc.)

Par ailleurs, laisser un intermédiaire "de confiance" (et en tout cas choisi) avoir accès à des informations comme l'adresse IP, le type de navigateur, ou la géolocalisation serait également perçu comme largement moins intrusif que les questions traditionnelles pour récupérer ses log-ins (numéro de sécurité social, nom du chien ou de la belle-mère, etc.).

Et vous, que préférez-vous ?

Source : Institut Ponemon

Lire aussi :

Virtualisation : HP saute le pas en sortant un nouveau client léger mobile hautement sécurisé

[Invité]

L'échantillon de l'étude (551 personnes) est en effet très faible.

Comment peut-on considérer ça comme une étude sérieuse si elle n'a été menée que sur aussi peu de personnes. Je trouve que ça rend l'information tout de suite moins crédible...

[peesse]

Personnelement, je pense que les deux technologies vont venir se compléter. On ne peut pas toujours utiliser l'authentification, à cause de contrainte physique (allez lire une empreinte quand on porte obligatoirement des gants (labo ou autre) ou que ce soit par simple contrainte éthique (certaine personne autour de moi refuse déjà l'identification par carte a puce, du fait que ça déshumanise l'acte de se loguer...

[gwinyam]

Ou que parfois, c'est juste le capteur qui est mort. Dans ma boîte, si on reboote pas le pc tous les jours, au bout de 3 ou 4 verrouillages de windows, on est sûrs que le capteur sensitif sera incapable de nous reconnaître.

[Lyche]

Rien que pour mon travail j'ai 3 mots de passe différents
Pour une personne "normale" (j'entends qui ne travail pas dans l'informatique), avoir plus de 2 ou 3 mots de passe, c'est dur, déjà pour qu'elle s'en rappel d'un c'est la croix et la bannière, alors pour 2 ou 3

[Invité]

Ouais, et encore je connais quelqu'un qui doit mémoriser 5-10 mots de passe différents à son boulot, et chacun avec une politique différente (tant de caractères spéciaux, à changer tous les x jours etc...)

[peesse]

Maintenant, l'authentification va poser un problème : on fait comment pour changer, on se fait greffer un doigt périodiquement ou bien?

[jmnicolas]

Je suis effaré que l'on soit seulement 1/3 à refuser la biométrique.
Pour ma part faudra me contraindre par la force avant que je ne donne mes données biométriques de moi même.

Mais quand je vois comme c'est facile de l'obtenir à l'insu d'une personne je ne me fais guère d'espoir.

Et qu'on arrête avec les intermédiaires de confiance, c'est toujours eux qui trahissent ...

[TabrisLeFol]

Ce que je préfère moi (meme en tant qu'informaticien) ce sont les regles pour changer les mots de passes afin que ceux ci soient plus sécurisés. Du genre, il faut les changer tous les N mois, le nouveau password doit etre different des n derniers et ne pas contenir... et contenir...

Du coup, on se retrouve avec
password:1
password:2
password:3
... C'est vrai que c'est beaucoup plus sécurisé !!!

[saturn1]

PFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

N'importe quoi l'empreinte (même si je crois que j'ai voté pour, par erreur )

On se croirait dans un film de science fiction !!

[spawntux]

Bonjour,

Je pense qu'il ne faut pas melanger authentification et identification, pour moi la biometrie c'est juste un outil d'identification comme le login.

Qui permet de dire effectivement il y a de forte chance pour que ca sois bien la bonne personne, mais en rien la biometrie ne peut remplacer l'authentification.

Je pense qu'il faut Biometrie + pass a la limite, c'est de mon point de vue un point de securité important, en tant qu'humain on laisse trainer nos empreinte partout et tout les jours et ca fut mainte fois prouvé lors de conference que les lecteurs biometrique grand publique de serie ne sont pas super performant. (cf un article dans MISC pour ce que ca interesse au passage je sais plus le numero xD).

De ce fait non la biometrie n'est en aucun cas un gage de sureté des données, en revanche la biometrie pour l'authentification et l'identification c'est un gage de facilité faut juste savoir ce que l'on souhaite au final.

Bien cordialement

[neo.51]

le problème c'est qu'un mot de passe on peut le changer si on se le fait piquer. Une empreinte ...

[Bapt.ice]

Et OpenID personne n'en parle ??

Moi ça me dérange pas de laisser mon empreinte. Si ça vous dérange, faut arreter de télécharger le dernier tube de mylène farmer et vous avez qqchose de plus important à vous reprocher...

De toute façon vous la donner bien quand vous faites votre passeport.
Vous la laissez partout derrière vous tous les jours.
Les suédois donnent leur numéros de carte bleu à tous les commerces et memes aux taxis.
Y'a que les français pour croirent qu'ils sont en super sécurité derrière un écran en lachant un com sur un blog.. ahah !

Si qqun veut vous trouver, il vous trouvera ! informatique ou pas. Alors une emprinte digitale, ça me fait bien rire ! Attention NCIS débarque chez vous ! sans déconner, y'a pas besoin de ça pour vous trouver.

[spawntux]

le problème c'est qu'un mot de passe on peut le changer si on se le fait piquer. Une empreinte ...

Une empreinte ca peut s'usurper d'ou la notion de Biometrie + pass.

[Vilmir]

Je suis à 100% pour une simplification de l'authentification numérique. Cela peut devenir vite une véritable plaie de jongler avec 3, 4 voir 10 mots de passe. Je viens de changer le mien dans ma boite qui a une politique très stricte à ce sujet. J'ai bien failli me retrouver hier soir dans l'incapacité de lire mes mails à la maison par simple oubli d'un alphanumérique.

La question de l'utilisation de ces données reste très sensible, je n'ai pas envie qu'une lente dérive nous ammène d'ici 30 ans à ce que l'on voit dans Minority Report et les scans rétiniens. Mais je reste persuadé que l'on peut jouir de l'authentification simplifiée tout en contenant la dérive. Au boulot les législatifs !

[Michel]

Que faire si le capteur déconne ???
Que celui qui n'a jamais eu de problème avec une carte de banque à la caisse d'un commerce lève le doigt....
Et ce n'est qu'un problème de contact le plus souvent alors que dire des optiques encrassées ou déréglées.
De plus, cela risque d'induire une fausse impression de sécurité car il est facile de tromper ce genre de système actuellement mais pas si simple d'en être conscient.
Enfin, ces données biométriques sont stockées dans des fichiers et donc facilement utilisables par un programme malveillant qui fait croire au système que authentification a réussi.
La sécurité est avant tout un problème de comportement responsable de toutes les personnes concernées et ce n'est pas en créant un climat de parano qu'on va améliorer la situation.

[Qwert]

le problème c'est qu'un mot de passe on peut le changer si on se le fait piquer. Une empreinte ...

Je rejoins l'avis de Néo sur l'empreinte....

Quant aux combos : Empreinte+Password ... Mieux vaut directement avoir un bon password... ca suffit