Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le W3C veut en finir avec les mots de passe sur le web

Bon courage

Le W3C veut en finir avec les mots de passe sur le web

Le 19 février 2016 à 15h00

Le W3C a décidé de s’attaquer à l’authentification sur le web. Il vient de former un nouveau groupe de travail centré sur cette thématique et prépare un nouveau standard, basé en bonne partie sur la version 2.0 des API FIDO.

Le World Wide Web Consortium (W3C) veut en finir avec les problèmes d’authentification sur le web, avec en ligne de mire un point bien particulier : les mots de passe. Le W3C aimerait s’en débarrasser si possible, car ils comportent de très nombreuses lacunes, sans même parler du souci principal, à savoir leur création.

Un groupe de travail pour se débarrasser des mots de passe

À de très nombreuses reprises, nous avons abordé la fragilité de cette protection qui n’est souvent pas prise au sérieux par les utilisateurs. Beaucoup se servent d’un même mot de passe pour plusieurs sites, créant une carence manifeste en sécurité pour la protection des données. Couplée à une trop courte réflexion pour leur création, ces mots de passe faibles sont un danger pour la toile : facilement devinables, ils déverrouillent d’un coup plusieurs sites, les utilisateurs les associant la plupart du temps à la même adresse email ou au même pseudonyme.

Ce qu’aimerait le W3C, c’est remplacer cette protection par d’autres. Il est conscient cependant que non seulement c’est impossible en l’état, mais que les alternatives doivent bénéficier du même traitement pour être réellement considérées. Un groupe de travail a donc été créé pour réfléchir à cette problématique. Le Web Authentication Working Group (WAWG) dispose d’ailleurs déjà d’une solide piste sur la direction à prendre.

Au cœur de la future recommandation, les API FIDO 2.0

Il va en effet se fonder sur les API FIDO 2.0, justement proposées par l’alliance FIDO (Fast IDentity Online) pour standardisation. L’objectif global de ces API est de permettre à différentes méthodes d’authentification d’être traitées de la même manière. Pour donner un exemple, la fonctionnalité Windows Hello dans Windows 10, qui permet de s’authentifier avec la webcam, pourrait être reprise et utilisée pour les sites web. En fait, la plupart des fonctionnalités de ce type dans le système sont déjà compatibles avec la version 1.0 des API FIDO.

La version 2.0 généralise l’idée et permet de créer une interface large de connexion dans laquelle les méthodes d’authentification compatibles sont toutes traitées de la manière. Reprise par le WAWG, l’API permettrait alors aux utilisateurs de choisir la méthode qui leur convient, à condition bien sûr que les sites visités soient compatibles avec le standard. Brett McDowell, directeur de l’alliance FIDO, se réjouit évidemment : « Notre mission est de révolutionner l’authentification sur le web à travers le développement et l’adoption globale de spécifications techniques qui supplanteront la dépendance mondiale aux mots de passe avec une authentification forte et interopérable. Avec l’acceptation par le W3C de notre contribution et la création de ce groupe de travail, nous sommes clairement en route vers l’accomplissement de cette mission ».

Un travail qui influera sur d'autres projets

Du côté du W3C, c’est Tim Berners-Lee en personne qui a fait l’annonce du début des travaux. Il manque cependant pour l’instant une information cruciale : le calendrier. Aucune date n’a été fournie pour un premier brouillon de la future recommandation. On sait cependant que le travail effectué aura des répercussions sur la WebCrypto API, qui est elle-même candidate à la recommandation. Idem pour WebAppSec, qui prépare notamment un lot d’améliorations pour l’expérience de connexion via HTTPS.

Notez que les méthodes de connexion sécurisée sans mot de passe existent depuis longtemps. Leur nombre ne cesse même de croitre avec le temps. Cependant, elles requièrent souvent du matériel supplémentaire. Il peut s’agir d’une validation à effectuer sur un smartphone, d’une clé USB ou encore d’une carte. Si les utilisateurs pouvaient exploiter certains capteurs sur leur propre ordinateur, comme une webcam ou un lecteur d’empreintes digitales, pour se connecter aux sites web, le mot de passe pourrait effectivement reculer. Cela étant, il ne faut pas oublier que des méthodes de secours devraient quand même être mises en place pour ne pas bloquer l’internaute s’il n’a plus ces équipements sous la main.

Commentaires (65)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Oh ben non, on vient de s’échanger 260 message pour savoir quel gestionnaire de mot de passe a la plus grosse bistouquette, et là, paf ! on nous dit que ça sert pus à rien…

votre avatar

https://images.duckduckgo.com/iu/?u=http%3A%2F%2Fwww.bedetheque.com%2Fmedia%2FCouvertures%2Fradada02.jpg&f=1









Vincent a écrit :



Le Web Authentication Working Group (WAWG)…





ça m’a fait pensé à ça <img data-src=" />

vendredi chargé :$



Sinon le sous-titre dit tout


votre avatar

oui enfin tous ce que j’espère c’est qu’ils n’en profiterons pas pour créer un system bien propriétaire (genre les drm adobe), qui permettera de tracé n’importe qui par son nouveau system de sécurité.



Sans oublier d’une eventuelle salloperie a moitier payante.

j’espère jusque qu’il tiendrons leur promesse et ne feront pas de la merde comme dab.

votre avatar



il ne faut pas oublier que des méthodes de secours devraient quand même être mises en place pour ne pas bloquer l’internaute s’il n’a plus ces équipements sous la main.

Donc, un mot de passe?<img data-src=" />



Ca risque de ressembler à:&nbsp;




  • vous n’avez pas de webcam ? cliquez ici

  • vous n’avez pas de smartphone ? cliquez ici

  • vous n’avez pas de lecteur d’empreinte digitale ? cliquez ici

  • vous n’avez pas de token ? cliquez ici

  • entrez votre mot de passe.

votre avatar

Je propose reconnaissance faciale + token (authenticator) + code pin + chant de la Marseillaise.

La le système envoi un sms de confirmation avec un lien qui redirige vers un fichier sonore à faire écouter au PC.



En cas de problème il suffit d’envoyer un FAX à l’organisme de gestion qui répondra sous 48h par lettre recommandée.

votre avatar

En espérant&nbsp; que ca soit du style WebCrypto et cie, avec un bon framework on pourrait enfin utiliser facilement l’authentification par certificat client SSL

votre avatar







CryoGen a écrit :



Je propose reconnaissance faciale + token (authenticator) + code pin + chant de la Marseillaise.

La le système envoi un sms de confirmation avec un lien qui redirige vers un fichier sonore à faire écouter au PC.



En cas de problème il suffit d’envoyer un FAX à l’organisme de gestion qui répondra sous 48h par lettre recommandée.





Un fax? C’est pas un vieux truc disparu des années 90, ça?


votre avatar

Je suis contre toute forme d’authentification biométrique pour les services reposant sur Internet (sites, applications…).

votre avatar

Rien de plus flippant que des systèmes de reconnaissance-authentification biométrique ou anthropométrique connectés aux interwebz.



Fly, you fools!

votre avatar

Si les utilisateurs pouvaient exploiter certains capteurs sur leur propre ordinateur, comme une webcam ou un lecteur d’empreintes digitales&nbsp;

Quand Apple a sorti son TouchID (le machin qui crée un identifiant à partir d’une empreinte digitale), Apple a été ironiquement félicitée par les spécialistes de la sécurité parce que cela permet de vérifier à grande échelle la stupidité de l’identification biométrique.

Une seule clef pour tout déverrouiller, effectivement, ce n’est pas la meilleure des idées.

votre avatar







JCDentonMale a écrit :



Je suis contre toute forme d’authentification biométrique pour les services reposant sur Internet (sites, applications…).





Je suis totalement contre aussi après une rapide recherche sur fido tous ce que je trouve c’est de la pub pour leur service et des copyright, du coup je refuse catégoriquement de laissé baladé des données biométrique, de mes utilisateurs dans une api aussi opaque, qui sait ou finisse ses données ?



Maintenant, si les sources de l’api traine faite le moi savoir. (je dit bien de l’api et non de l’implémentation de l’api)


votre avatar







heret a écrit :



Si les utilisateurs pouvaient exploiter certains capteurs sur leur propre ordinateur, comme une webcam ou un lecteur d’empreintes digitales 

Quand Apple a sorti son TouchID (le machin qui crée un identifiant à partir d’une empreinte digitale), Apple a été ironiquement félicitée par les spécialistes de la sécurité parce que cela permet de vérifier à grande échelle la stupidité de l’identification biométrique.

Une seule clef pour tout déverrouiller, effectivement, ce n’est pas la meilleure des idées.



Une seule clé pas fiable, surtout.

Comme je l’ai marqué sur la news sur l’erreur 53 de l’Iphone, un bout de scotch suffit à outrepasser le système en toute impunité.


votre avatar

Je propose une puce magnétique implantée sur le front.

Tous les lecteurs de cartes CB sans contact pourront le lire, il suffit de coller le front dessus.&nbsp;

Un code barre derrière la nuque constituera un moyen de secours. Ainsi ca marchera même avec une douchette de la caissuère.



Pour les PC, il suffit de s’équiper d’un lecteur sans contact ou une douchette infra rouge…

Que demande le peuple ???

votre avatar

Je pense que le mot de passe reste la solution la meilleure et la plus simple.



De toute façon, on ne coupera pas au problème principal, à savoir que des utilisateurs non formés représenteront toujours un danger quoi qu’on fasse.

votre avatar

le biométrique, c’est un ID, pas un passwd

votre avatar

maintenant qu’ils ont quasiment tous sur nous, il leur manque plus que la reconaissance faciale les emprunte et l’adn, une fois fido en place il leur manquera plus que l’adn (et il me semble que certain lecteur arrive a ce niveau), je connais certain cervice de renseignement que cela va intéressé, cette orgie d’info fraiche

votre avatar







gokudomatic a écrit :



Un fax? C’est pas un vieux truc disparu des années 90, ça?





Si seulement… J’en du en envoyer 2 aux cours des 12 derniers mois…


votre avatar

S’il y a bien quelque chose qui n’est pas confidentiel, ce sont les identifiants biométriques : partout, je laisse mes empreintes digitales et mon ADN ; une photo peut suffire pour ma gueule, mon iris, mon contour d’oreille, etc. ; un enregistrement pour ma voix ; etc.<img data-src=" />

votre avatar

Sans oublier les doppelgängers

votre avatar







liziara21 a écrit :



maintenant qu’ils ont quasiment tous sur nous, il leur manque plus que la reconaissance faciale les emprunte et l’adn, une fois fido en place il leur manquera plus que l’adn (et il me semble que certain lecteur arrive a ce niveau), je connais certain cervice de renseignement que cela va intéressé, cette orgie d’info fraiche





La NSA ? Le GCHQ ? Le Bescherelle ?


votre avatar







Pwney a écrit :



S’il y a bien quelque chose qui n’est pas confidentiel, ce sont les identifiants biométriques : partout, je laisse mes empreintes digitales et mon ADN ; une photo peut suffire pour ma gueule, mon iris, mon contour d’oreille, etc. ; un enregistrement pour ma voix ; etc.<img data-src=" />





Une sonde rectale. Il n’y a que ça de vrai. <img data-src=" />


votre avatar

C’est un moyen de communication malheureusement encore très prisé dans les hôpitaux français (inter et intra hospitalier)… Je dois en envoyer une 30aine par mois ^^

votre avatar







Ricard a écrit :



La NSA ? Le GCHQ ? Le Bescherelle ?





Vive les commentaires constructif et intelligents


votre avatar

Ah c’est bon ça&nbsp;<img data-src=" />

votre avatar







Xaelias a écrit :



Si seulement… J’en du en envoyer 2 aux cours des 12 derniers mois…





ça va , t’es soft , j’en connais qui en reçoivent 5-à 20 par jour, et où certaines commandes / devis sont signés par FAX , le FAX classique hein , sur l’imprimante , pas le FAX dématérialisé ( non pas le scan ) .

Le plus marrant dans la réception de leurs fax , c’est qu’il y en a une bonne partie qui sont des pubs xD ( 1-10 / semaines )







Par contre, pour l’histoire du mot de passe … enfait non je suis pas contre le changement, mais clairement va falloir trouver un truc qui ne demande pas un objet physique ( Battlenet ?&nbsp; ou bien que ce ne soit pas la norme )&nbsp; ni un téléphone portable pour authentificator ( j’ai même songé à prendre une carte prépayée uniquement pour ce type de service )

Et encore et surtout moins, une “partie” de soi !! quoi que ce soit ! adn , visage, rétine, empreinte vocale enfin tout quoi .



En gros, les mots de passes me suffisent :p , pourquoi ne pas opter pour voir si la sécurité n’est pas améliorable ? hachage / cryptage bdd je sais ne sais quoi .


votre avatar

Comme d’hab ? Le W3C fait les choses plutôt bien en général. Lentement, mais bien.

votre avatar







ColinMaudry a écrit :



Comme d’hab ? Le W3C fait les choses plutôt bien en général. Lentement, mais bien.





Quand je dit comme dab, je pensait surtout au soit disant révolution récente, qui au final ne servent a rien, je ne parlais pas du W3C, (enfin hormis l’énorme erreur d’intégré les drm), en effet ils sont du plutot bon boulot, je suis désolé si mon message n’était pas clair a ce sujet, je regrette surtout d’une possible (encore) adoption d’un service complètement opaque quand a des données si sensiblent


votre avatar

Je préfère perdre mon compte NXI&nbsp; ( exemple ) par simple hack de mon mdp , que de

me faire prendre mon empreinte vocale ou digitale, iris , visage&nbsp; , pour un “bête” site

d’actu

votre avatar



Le W3C veut en finir avec les mots de passe l’anonymat sur le web





<img data-src=" />

votre avatar

C’est exactement ça le problème. et en plus une fois ton empreinte bio compromise, tu fais quoi ? tu changes d’oeil ?

votre avatar

c’est qu’une partie du problème, l’autre étant que le site/l’entreprise&nbsp; les possèdent ces données bio !



à l’heure actuelle, la plus part des sites où je suis , propose l’email de secours + une phrase secrète , etc .



Donc 2 possibilités : Soit on hack mon compte par brute force/ par vole de BDD , mais du coup c’est l’entreprise qui n’a pas sécurisé son site et son serveur !&nbsp;

Soit on me hack par tentatives à la con / social engineering , du coup c’est moi qui n’est pas mis un mot de passe assez fort pour évité d’être facilement trouvable.



C’est sur qu’avec le login / email ( certains site offre la possibilité d’avoir un nom d’affichage et un login différent ) , et les mdp générique 123456 , ce n’est pas vraiment la peine de changer pour du biométrique, c’est de l’éducation .

&nbsp;



&nbsp;

Pour certains gros services important à mes yeux, je suis prêt à faire le sacrifice de qq € pour une clé USB d’authentification , mais j’ai du mal à lacher mon portable pour une authentification par numéro de mobile, alors viens l’option de s’acheter un numéro uniquement pour des authentificator .





&nbsp;

Perso, je vois qu’on peut se connecter avec G+ et FB sur le site de ma mutuelle , voici le message “ A noter : Vos informations ne sont en aucun cas stockées par Nomdemamutuelle”.



Alors après c’est par l’ignorance que j’en finie parano, car je ne sais pas ce qui se passe si je me connecte via G+ ou FB , mais personnellement ça n’augure rien de bon . sont-ce mes données de santé qui sont transmises à ces entreprises ???

votre avatar

Ouai, on verra si ça fait un flop comme OpenID ou Persona. C’était quand même de très bonnes idées : Avoir un mot de passe fort sur un fournisseur d’identité en lequel on à confiance, puis auth sur tout le reste par chalenge avec le fournisseur d’identité.

votre avatar







liziara21 a écrit :



Vive les commentaires constructif et intelligents





ConstructifS&nbsp;

<img data-src=" />


votre avatar

Une bonne solution serait d’être identifié via le navigateur internet (avec plusieurs comptes au choix) et que de là, ces informations permettent de s’inscrire/identifier facilement aux autres services. Services qui recevrait un identifiant unique pour chacun des services et ne jamais connaitre l’identifiant de base de l’utilisateur.

votre avatar







Elwyns a écrit :



c’est qu’une partie du problème, l’autre étant que le site/l’entreprise&nbsp; les possèdent ces données bio !



&nbsp;

Non. FIDO c’est juste de la cryptographie asymétrique. Tout ce que le site a c’est ta clé publique. La biométrie c’est juste une des solutions proposée pour protéger ta clé privée en local.



“The local unlock is accomplished by a user–friendly and secure action

such as swiping a finger, entering a PIN, speaking into a microphone,

inserting a second–factor device or pressing a button.”



En gros le site t’envoie un challenge, tu le résouds en local avec ta clé privée (sécurisée par PIN, biométrie, l’insertion d’une carte à puce, que sais-je d’autre) et tu renvoie la réponse. Le site vérifie ta réponse via la clé publique et t’autorise l’accès ou non en fonction du résultat.


votre avatar

Pour ceux qui ne sont pas alergiques à l’anglais, lisez, ce type est juste brillant.



La solution est :



https://www.grc.com/sqrl/sqrl.htm&nbsp;

votre avatar







Ricard a écrit :



ConstructifS&nbsp;

<img data-src=" />





Et encore un commentaire digne d’un QI de poule


votre avatar







Khalev a écrit :



&nbsp;

Non. FIDO c’est juste de la cryptographie asymétrique. Tout ce que le site a c’est ta clé publique. La biométrie c’est juste une des solutions proposée pour protéger ta clé privée en local.



“The local unlock is accomplished by a user–friendly and secure action

such as swiping a finger, entering a PIN, speaking into a microphone,

inserting a second–factor device or pressing a button.”



En gros le site t’envoie un challenge, tu le résouds en local avec ta clé privée (sécurisée par PIN, biométrie, l’insertion d’une carte à puce, que sais-je d’autre) et tu renvoie la réponse. Le site vérifie ta réponse via la clé publique et t’autorise l’accès ou non en fonction du résultat.





Je consède que je n’ai fait qu’une recherche très rapide, mais je n’ai trouver aucune preuve de leur dire, absolument aucun code source de l’api est en ligne (ou je ne l’ai pas trouver) donc rien ne peut me prouver en l’état, qu’ils ne mentent pas et ne copie pas les données biométrique vers leurs serveurs.



J’en reviens donc au fait que je n’implémenterais aucune technique du genre avant d’être certain a 100% que les utilisateurs ne verront pas leur donnée biométrique volée par ce service.



Arpès tous la responsabilité du gestionnaire du site n’est pas de tous mettre en oeuvre pour protéger les données de ses utilisateurs ?



Donc a moins que ce qui ressort de ce travail soit un code source consultable par tous, je ne l’implémenterai pas


votre avatar







teenerf a écrit :



C’est un moyen de communication malheureusement encore très prisé dans les hôpitaux français (inter et intra hospitalier)… Je dois en envoyer une 30aine par mois ^^





Ah non mais moi j’ai du en envoyer en tant que particulier ^^


votre avatar







liziara21 a écrit :



Et encore un commentaire digne d’un QI de poule





<img data-src=" /> Tu vas me faire rougir…


votre avatar

Tu rigoles ?

Le fax de ma boîte continue de recevoir régulièrement des spams commerciaux dont certains de … Orange Business Service (à la pointe de la technologie marketing cette boîte …).

En entreprise, le fax n’est hélàs pas mort : si tu n’en as pas, tu risques d’être emmm…. avec un client qui ne passe que par là.

Par contre, rien n’empêche de n’avoir qu’un numéro de fax à 3 €HT/mois qui redirige vers un fichier PDF envoyé par mail, et d’envoyer soi-même un fax réponse via un logiciel.

votre avatar

avec un ricard , c’est plutôt facile

votre avatar

Si c’est pour faire de la biométrie, je garde mes mots de passe pourraves !

Et les smartphones, ça se fait voler plus souvent que les mots de passe.

votre avatar

Pour défendre un peu Ricard, il faut dire que tu fais fort au niveau orthographe.

Tu sais qu’il existe des correcteurs orthographiques sur la plupart des navigateurs ?

votre avatar







Mihashi a écrit :



Pour défendre un peu Ricard, il faut dire que tu fais fort au niveau orthographe.

Tu sais qu’il existe des correcteurs orthographiques sur la plupart des navigateurs ?





peut être mais vois tu, moi au moins je fais l’effort d’écrire normalement, pas comme certain qui font, “slt cmen vs allais”, alors je trouve particulièrement exagérer que ce genre de personne qui n’est même pas foutu de faire des commentaires intelligent vienne reprendre sur l’orthographe !


votre avatar







liziara21 a écrit :



peut être mais vois tu, moi au moins je fais l’effort d’écrire normalement, pas comme certain qui font, “slt cmen vs allais”, alors je trouve particulièrement exagérer que ce genre de personne qui n’est même pas foutu de faire des commentaires intelligent vienne reprendre sur l’orthographe !





Les commentaires intelligents, je les fais avec les gens intelligents, ce qui ne semble pas être ton cas, vu comment tu cours… <img data-src=" />


votre avatar







luxian a écrit :



Tu envoies bouler un client sous prétexte que c’est un <img data-src=" /> , toi ?



Si tu en as trop, envoies les moi.





Je n’ai pas de clients directs vu que je suis salarié (la prospection commerciale ne fait bien heureusement pas partie des mes prérogatives). Et je suis d’accord avec toi qu’en période de “vache maigre” (pas de jeu de mot sur mon avatar) on n’est pas trop regardant sur le choix des clients …Si seulement on pouvait choisir avec qui (ou pour qui) on bosse …


votre avatar

Même en période de vache folle, un client, ça se garde.

votre avatar







anonyme_f57797547c925e7a0bcd3772713c4039 a écrit :



Je suis totalement d’accord avec toi après la double authentification il n’y a plus rien, maintenant je ne sait plus dou tous ou j’ai lus ca mais il me semble que sur twitter très très peu de gens l’ont activée.





Ouai enfin après c’est twitter hein… Je mets pas la même sécurité sur tumblr/twitter/… que mes comptes en banque.


votre avatar







luxian a écrit :



Tu rigoles ?

En entreprise, le fax n’est hélàs pas mort : si tu n’en as pas, tu risques d’être emmm…. avec un client français qui ne passe que par là.





petite précision nécessaire. Si je n’ai pas de client français, il n’y a pas de problème. :)


votre avatar

Bah, on repassera dans 100 ans … quand ils auront une idée.

votre avatar







luxian a écrit :





&nbsp;Oui et c’est bien triste … Soit le client est indispensable (gros contract) soit tu l’envoies bouler comme un malpropre ! Le minitel est mort, à quand pour le fax ?


votre avatar







Ricard a écrit :



<img data-src=" /> Tu vas me faire rougir…





Ca va au bac a sable ?, par ce que ici c’est une conversasion de grand, alors retourne chez ta maman, et laisse parler les adultes entre eux


votre avatar

Pourquoi ne pas faire une authentification par “point” sur une image ? Un peu comme le déverrouillage de Windows 8 (vous choisissez une image et vous y balancer des formes) ? Voir même un mot de passe en mode couleur: c’est à dire que le mot de passe est constitué de couleur choisis (genre 5 couleurs différente…) Après perso je retiens mieux un mot de passe mais… J’utilise un générateur et le tout crypté dans une bdd local donc bon… x)

votre avatar







Dryusdan a écrit :



Pourquoi ne pas faire une authentification par “point” sur une image ? Un peu comme le déverrouillage de Windows 8 (vous choisissez une image et vous y balancer des formes) ? Voir même un mot de passe en mode couleur: c’est à dire que le mot de passe est constitué de couleur choisis (genre 5 couleurs différente…) Après perso je retiens mieux un mot de passe mais… J’utilise un générateur et le tout crypté dans une bdd local donc bon… x)





oui enfin au final si les gens font des truc simple le problème de base qui est la faiblesse de la clef sera toujours la, si les fondateurs d’internet on choisi le mots de passe c’est parcequ’il n’ont rien trouver de plus sécurisé (et qu’il n’avais pas les moyens de faire plus), donc au lieu de vouloir banir les mots de passe avec la première idée qui passe ou en obligant une api reposant sur une sécurité douteuse, je pense qu’ils ferait mieux de d’abort ouvrir une reflexion sur la méthode qui remplacerons eventuellement les mots de passe pour ensuite seulement passer a comment l’implémenté


votre avatar







liziara21 a écrit :



oui enfin au final si les gens font des truc simple le problème de base qui est la faiblesse de la clef sera toujours la, si les fondateurs d’internet on choisi le mots de passe c’est parcequ’il n’ont rien trouver de plus sécurisé (et qu’il n’avais pas les moyens de faire plus), donc au lieu de vouloir banir les mots de passe avec la première idée qui passe ou en obligant une api reposant sur une sécurité douteuse, je pense qu’ils ferait mieux de d’abort ouvrir une reflexion sur la méthode qui remplacerons eventuellement les mots de passe pour ensuite seulement passer a comment l’implémenté





Point taken.

Dans ce cas la, il faudrait… Sensibiliser la population ? Car avoir les sites “Votre mot de passe doit contenir x caractères, lettres chiffre minuscule, majuscule caractère spéciaux…” on fait facilement “mot de passe oublié” et donc cela revient juste à casser la sécurité car l’adresse mail ne doit pas être supra sécurisé…

&nbsp;Selon moi la solution la plus viable à l’heure actuel est la double authentification… (Car si on te vole ton compte + ton portable / ordi / tout ce que tu veux c’est qu’on t’en veux vraiment x) )


votre avatar







Dryusdan a écrit :



Point taken.

Dans ce cas la, il faudrait… Sensibiliser la population ? Car avoir les sites “Votre mot de passe doit contenir x caractères, lettres chiffre minuscule, majuscule caractère spéciaux…” on fait facilement “mot de passe oublié” et donc cela revient juste à casser la sécurité car l’adresse mail ne doit pas être supra sécurisé…

&nbsp;Selon moi la solution la plus viable à l’heure actuel est la double authentification… (Car si on te vole ton compte + ton portable / ordi / tout ce que tu veux c’est qu’on t’en veux vraiment x) )





Je suis totalement d’accord avec toi après la double authentification il n’y a plus rien, maintenant je ne sait plus dou tous ou j’ai lus ca mais il me semble que sur twitter très très peu de gens l’ont activée.


votre avatar







liziara21 a écrit :



maintenant qu’ils ont quasiment tous sur nous, il leur manque plus que la reconaissance faciale les emprunte et l’adn, une fois fido en place il leur manquera plus que l’adn (et il me semble que certain lecteur arrive a ce niveau), je connais certain cervice de renseignement que cela va intéressé, cette orgie d’info fraiche





ça s’appelle comment déja le film, Bienvenue a Gattaca non ?


votre avatar







Mithrill a écrit :



“Pour donner un exemple, la fonctionnalité Windows Hello dans Windows 10, qui permet de s’authentifier avec la webcam, pourrait être reprise et utilisée pour les sites web.”



TRÈS mauvais exemple&nbsp;<img data-src=" />



En effet pour un compte facebook, tu reprend la photo du profil et hop nous voilà connecté !&nbsp;<img data-src=" />



Je vais lire la suite, ça me semble utopique tout ça.





Ou pas. Une photo ne berne pas Hello, tout comme un vrai jumeau ne peut pas non plus se faire passer pour son frere/sa soeur. Alors tu penses bien que ta photo de profil aura une&nbsp;efficacité totalement nulle. <img data-src=" />


votre avatar







luxian a écrit :



Tu rigoles ?

Le fax de ma boîte continue de recevoir régulièrement des spams commerciaux dont certains de … Orange Business Service (à la pointe de la technologie marketing cette boîte …).

En entreprise, le fax n’est hélàs pas mort : si tu n’en as pas, tu risques d’être emmm…. avec un client qui ne passe que par là.

Par contre, rien n’empêche de n’avoir qu’un numéro de fax à 3 €HT/mois qui redirige vers un fichier PDF envoyé par mail, et d’envoyer soi-même un fax réponse via un logiciel.







C’est encore très utilisé dans la grande distrib pour les commandes fournisseurs.

Même si de nos jours, c’est de plus en plus du dématérialisé.



Néanmoins, c’est encore très utilisé en moyen de secours.


votre avatar







liziara21 a écrit :



Je consède que je n’ai fait qu’une recherche très rapide, mais je n’ai trouver aucune preuve de leur dire, absolument aucun code source de l’api est en ligne (ou je ne l’ai pas trouver) donc rien ne peut me prouver en l’état, qu’ils ne mentent pas et ne copie pas les données biométrique vers leurs serveurs.



J’en reviens donc au fait que je n’implémenterais aucune technique du genre avant d’être certain a 100% que les utilisateurs ne verront pas leur donnée biométrique volée par ce service.



Arpès tous la responsabilité du gestionnaire du site n’est pas de tous mettre en oeuvre pour protéger les données de ses utilisateurs ?



Donc a moins que ce qui ressort de ce travail soit un code source consultable par tous, je ne l’implémenterai pas





Sauf que FIDO pour l’instant c’est juste de la standardisation. Tu peux trouver les specs là :https://fidoalliance.org/specifications/download/ et tu verras qu’il n’y a aucun moyen d’échanger des infos biométriques.



Après c’est aux différents acteurs d’implémenter des solutions techniques respectant ce standard.


votre avatar

L’intention est plus que louable, mais effectivement c’est un énorme euphémisme que de dire que la rtoute est encore longue….



Perso j’ai toujours pensé que la meilleure protection anti-feu qui soit, c’est tout simplement de s’être déjà cramé….

A mon sens, une prise de conscience étendue et une acceleration des technos sur ce domaine ne pourra vraiment se faire qu’après un énorme scandale de fuites de données suite à MDP défaillant. Pas juste un petit site qui se fait hacker, mais un gros truc, du genre Google, Apple ou une grande banque.

Ou bien quelquechose lié à la sécurité des personnes (quand il y aura des conséquences qui impliquent des vies, quoi).

votre avatar







liziara21 a écrit :



Ca va au bac a sable ?, par ce que ici c’est une conversasion de grand, alors retourne chez ta maman, et laisse parler les adultes entre eux





Une consversaSion de grandS ? T’es trop marrant toi. <img data-src=" />


votre avatar

Tu envoies bouler un client sous prétexte que c’est un <img data-src=" /> , toi ?



Si tu en as trop, envoies les moi.

votre avatar







Ricard a écrit :



Une consversaSion de grandS ? T’es trop marrant toi. <img data-src=" />





Bha quand on a rien de mieux a faire de sa vie que de commenté l’orthographe des gens, mais bon maintenant je te répond plus, j’en ai marre de perdre mon temps avec un gamin dans ton genre, monsieur se sens puissant derrière son clavier mais Irl, la il n’y a plus personne, aller maintenant je te laisse a tes commentaires de gamin de bac a sable


Le W3C veut en finir avec les mots de passe sur le web

  • Un groupe de travail pour se débarrasser des mots de passe

  • Au cœur de la future recommandation, les API FIDO 2.0

  • Un travail qui influera sur d'autres projets

Fermer