Discussion :

[Zefling]

Attention a ne pas confondre l'authentification avec des services tiers (ex: Google, Facebook, Twitter...) et la méthode traditionelle.
Mes utilisateurs qui utilisent la double-autentification n'ont la plupart du temps qu'a cliquer sur une image pour se connecter car ils sont déja connecter a leur service Google ou autre.

Par example sur Facebook mon PC portable perso + téléphone sont des périphériques reconnus, mais pour les autres comme au boulot par example la double authentification est requise. Sur Facebook c'est juste copier 6 chiffres envoyés instantanément sur mon smartphone, rien de bien déroutant comme tu le dit. D'autant plus que ce mode ne t'es pas imposé, du moins pas encore et pas de sitot.

Oui, ça, c'est si on centralise tout : tu t’enquiquines une fois avec Facebook, Google ou Personnas et tu vas te connecter partout avec l'un d'eux. Après il faudra que ses services soient partout (ou un autre service) si tu veux vraiment simplifier la chose, sinon il faudra s'inscrire et se connecter sur x services là où pour l'instant je fais mémoriser les mots de passe par le navigateur et je me connecte en 2 secondes.

Je ne dis pas que c'est déroutant, je dis juste que ça prend plus de temps. Déjà quand je vois la tête des mots de passe des utilisateurs moyens qui n’ont pas envie de se faire chier avec des trucs compliqués, ça ne fera que rajouter une couche (et pallier leur manque de sécurité aussi).

Visiblement, le monde semble vouloir tout centraliser, ce qui me fait un peu peur.

En tout cas, l'actu est mal formulée ou ne semblent pas abordées les choses comme il faudrait. Il y a toujours un moment où une chose sera que seul l’utilisateur connaît, et une clef envoyée par téléphone est un « mot de passe » (utilisable une seule fois).

[phili_b]

Je pense que l'idée est surtout de supprimer les multiple authentification [..] sur internet par le système d'authentification a l'aide de votre compte Google ou Facebook ou .... En effet le principal reproche qui est fait au mot de passe c'est qu'il y en a partout

Ha ben non. En tout cas c'est une fausse sécurité et je crois que ça a été dit dans ce topic ou un topic voisin. Microsoft avec Windows Live Passport, Facebook pour participer à certains forums ou journaux, google avec un système similaire en fait je pense que ça augmente le risque de piratage de façon exponentiel. C'est comme si j'avais la même clé pour ma voiture, mon appart, la clé de mon bureau, ma moto si j'en avais une.

Autant en entreprise, et encore seulement pour les services habituels (mail, web) il suffit de se logger sur le LDAP et basta, mais sinon je ne vois pas en quoi centraliser les connexions en une seule va vers plus de sécurité.

Plus de confort, certes, mais pas plus de sécurité.

[ArKam]

Sinon les gars, vous etes au courant que ce dont parle le RSSI de chez Google c'est des authentifications effectuées par les employés en interne, sur les systèmes interne de chez google et pas pour la partie client qui est elle cloisonnée??

Bon sinon, dit comme ça en passant, c'est un peu de la merde ce qu'il raconte vue qu'ils ont pas tout passé en connexion sans mot de passe, m'enfin, effet d'annonce tout ça tout ça...

[alex_vino]

C'est comme si j'avais la même clé pour ma voiture, mon appart, la clé de mon bureau, ma moto si j'en avais une.

Oui sauf que dans le cas présent ta clé n'ouvrirai que si elle est utilisée par ta main.
Si tu utilises Facebook pour te connecter a un site lambda et active la double authentification, meme si quelqu'un connait ton mot de passe il ne pourra pas se connecter a Facebook ni meme au site lambda.
Ok dans ton example on peux voler la clé et couper la main mais bon

[Derf59]

hein ?! La double authentification se fait une fois pour toutes sur les ordis que l'on pense être sûrs : son ordi perso, éventuellement l'ordi de son entreprise dont la session est protégée par ton login pro, l'application gmail android peut l'être aussi si tu le souhaites, et tout autre application que l'on peut accepter mais aussi révoquer.

En revanche sur tout ordi non sûr, c'est-à-dire tout les ordis par défaut sauf ceux que tu as défini, ça t'envoie un sms pour vérifier que c'est bien toi.

Vous n'êtes pas obligé d'utiliser un SMS pour la double authentification.
Il existe une application pour SmartPhone (Google Authenticator) qui permet d'obtenir un nombre
Je me sers de celà quand je suis à l'étranger.

[the_babou]

la double authentification sera vraiment intéressant quand il sera possible d'utiliser la biométrie, mais cela pose d'autres problèmes à la fois techniques et éthiques.

[tibidule]

M'enfin les gars, lisez, ils parlent de double authentification sur le système d'information interne de l'entreprise Google.

Donc il s'agit de la méthode qu'utilise les salariés Google en se connectant en arrivant au taf', pas la méthode que les clients doivent utiliser pour s'authentifier aux services.

Sinon, comme le dit Arkam, c'est surement un effet d'annonce, rien de plus.

[leminipouce]

J'attends de voir la double authentification sur un forum ou sur un blog. Les gens vont être heureux de passer 5× plus de temps à se connecter pour poster un commentaire.

Non, pas nécessairement. Typiquement, ce que propose Google dans sa double authentification, c'est d'enregistrer, pour un mois, la machine que tu utilises. Tu as donc une fois par mois, si tu te connectes régulièrement avec les mêmes machines, la nécessité d'identifier 2 fois. Sinon, ça reste classique avec une seul identification qui peut être un mot de passe.

[SenpaiSilver]

Certains se plaignent pour rien ici, pourquoi se plaindre d'une sécurité supplémentaire et optionnel que Google propose alors que d'autres sites comme Paypal n'ont besoin que d'un mot de passe.

Je préfére avoir une double authentification qui protége mon compte si un de mes mots de passe est compromis. La NSA ne va pas voler 20 euros sur mon Paypal.

[PointCarreJo]

Je pense que "trop authentification" tue l'authentification. Étant moi-même informaticien, quand je rentre le soir et que je veux me connecter il faut que ça soit simple et sans bavure. Toute cette complexification doit être transparente. Pour moi, la méthode classique a encore de beaux jours.

[Cyrilange]

Une empreinte digitale numérisée est un mot de passe généré par votre empreinte. Il y aura toujours des mots de passes mais qui sont générés par autre chose que votre clavier.

[Pierre GIRARD]

Etes-vous du même avis que Heather Adkins ?

Plutôt d'accord avec lui. Car, à part des mots de passes à rallonge et remplacés souvent ??? Et même dans ce cas, on enregistre quelque part un fichier recensant les mots de passes pour ne pas les oublier (quand ce n'est pas un Post'It collé sous le clavier).

Quels sont selon vous les meilleurs moyens pour sécuriser des données ?

Il faudrait une carte à puce individuelle et unique (enregistrant une empreinte digitale par exemple ... seul l'intéressé sachant quel doigt a été choisi ) associée à un code secret.

Pour entrer sur l'ordinateur :
1) Un lecteur de carte à puce
2) Un dispositif de lecture de l'empreinte digitale pour assurer la concordance avec la carte
3) Un code secret

Sans avoir les trois à la fois, impossible d'entrer sur le système.

[renaudbb]

J'ai passé l'été à aider une amie qui était salement piratée sur tous ses comptes par quelqu'un qui lui voulait du mal.
On ne se rend pas compte à quel point ça peut être destructeur.
Donc oui, je pense qu'il est urgent de trouver des solutions fiables d'authentification, même si c'est un chouia plus contraignant.

[CAVROT]

olreak félicitations ça m'a fait bien rire..

j'utilise l'authentification digitale sur mes ordis.
C'est rapide pour substituer un ID PASSWORD à l'appli.

Il est clair qu'il faudrait un ID PW global pour plus de facilité avec un système comme celui des banques avec un slot time basé sur l'heure et vos données.
Toutefois la non globalisation des systèmes est un problème en soi. Je me balade avec 4 "calculateurs de banque" dans ma serviette.
Ca me semble toutefois une solution acceptable pour aujourd'hui, je dois entrer mon ID + password dans la calculette + un nombre montré à l'écran, la calculette me retourne une valeur que j'entre dans le système.
Un peu lourd cette, mais je me sens en confiance.
Pour les fonctionnalités plus "dangereuses"(ajout d'un nouveau bénéficiaire) j'ai une banque qui m'envoie un SMS avec un code à entrer , l'autre m'appelle en direct avec un code à entrer.

Bon il y a encore de la marge pour la facilité.
Pourquoi pas une USB connectable partout (micro usb par ex) avec un système d'authentification général protégé par mot de passe crypté 1024.

[shenron666]

Plus tôt dans l'année, Google déclarait vouloir faire disparaitre les mots de passe de ses outils, au profit notamment de la double authentification.

première étape de la double authentification : entrez votre mot de passe

[MacDev]

non, la double authentification est un autre principe, celui d'utiliser deux moyens de deux familles différentes d'authentification parmi celles-ci (pardon pour les oublis):
- ce que je sais : mot de passe, questions secrètes
- ce que je possède : clé RSA, carte bleue, téléphone portable (le SMS reçu est dans cette catégorie, cela prouve que vous avez bien le portable avec vous)
- ce que je suis : tout ce qui est biométrie (empreintes, veines, iris, visage . . .)

Je connais un procès en justice relatif à ce genre de truc "ce que je sais, ce que je possède": un client d'une banque s'est fait voler à son insu son chéquier et les voleurs ont fait migrer son numéro de téléphone vers une autre carte SIM détenu par les voleurs. Quand le chéquier signé par les voleurs a été présenté à la banque pour un retrait de 15 millions de franc, la banque a téléphoné au client (donc ce sont les voleurs qui ont répondu à l'appel) pour demander si c'est lui qui a autorisé ce retrait, elle a eu comme réponse "OUI, DONNEZ A CES GENS LA SOMME DE 15 millions"!!!...
Conclusion : la sécurité reste avec pas mal de défis.

Je ne dis rien sur le fait que certain internaute ne savent pas comment se déconnecter de son compte de messagerie gmail dans le navigateur CHROME!!! Et leurs données privées deviennent facilement accessible...

[Pierre GIRARD]

Ceux qui possèdent 15 millions d'€ (ou plus) sur leur compte courant ne doivent pas être très nombreux ... à part quelqu'un qui gagne à l'EuroMillion

Mon droit à découvert étant de 700€, je doute que ma banque accepte ce genre de transaction ... même en me téléphonant.

... et même au téléphone, ils posent 3 questions auxquelles, normalement, je suis le seul a avoir la bonne réponse.

[fredoche]

moi je retiens surtout ça de l'article :

Ultimately, she said, anyone starting a new technology company should be sure that one person is designated to focus on security and privacy, and that one of the first 25 employees should work full time on security and privacy

@ Cavrot

Ca me semble toutefois une solution acceptable pour aujourd'hui, je dois entrer mon ID + password dans la calculette + un nombre montré à l'écran, la calculette me retourne une valeur que j'entre dans le système.
Un peu lourd cette, mais je me sens en confiance.

Ca ca me parait bien. Qui te fait ça ? des banques françaises ?

Le problème des empreintes digitales, c'est que on les laisse partout... ordi, téléphone, carte bleue... les truc que l'on veut protéger quoi.

J'aime bien le système de schéma sous android, je pense que c'est une bonne piste pour l'avenir

Et pour les mots de passe, je suis de plus en plus convaincu que l'on fait n'importe quoi à tous les niveaux:
- à tout le temps le demander, du coup l'utilisateur le donne sans se poser de questions
- à lui donner une forme à la con, des règles à la con, et le changer tous les 60 jours. Moi c'est pas dur, 2 mots de passes qui se ressemblent au chiffre près, et qui tournent.
- à le stocker hashé, quand il l'est hashé, alors que des tables de hashs de plusieurs millions d'entrées sont en vente libre.

C'est un sujet qui me turlupine perso.

Un article intéressant :
https://xato.net/passwords/more-top-.../#.UlaluhA7chk

Je suis sur que une bonne partie de mes utilisateurs ont leur mot de passe dans la liste