Sachant qu'on ne peut pas vraiment se passer d'authentification mais que, en même temps, personne ne veut y consacrer des sommes sans rapport avec le risque réel tout en prenant le risque de rebuter les utilisateurs, il y a quelques solutions déjà utilisables à ce jour, comme :
Mot de passe + vérification par SMS, déjà mise en œuvre par quelques géants d'internet qui ont les moyens.
Fédération d'identité : on compte sur quelqu'un d'autre pour authentifier l'utilisateur, et le risque est transféré à quelqu'un qui gère mieux, sans nécessairement compromettre la vie privée.
Les gestionnaires de mots de passe et les méthodes de dérivation de clés sont nettement moins pires, mais ne changent rien au fait qu'on a toujours de l'authentification à un seul facteur.
Tout ce qui est token cryptographique est bien pour satisfaire les besoins d'une entreprise avec un service central d'authentification et les moyens financiers suffisants. Mais la limite intrinsèque des puces cryptographiques est le faible nombre de clés privées asymétriques qu'elles peuvent stocker. Implicitement, cela pose un problème en termes de vie privée.
Dernière remarque : sur la complexité des mots de passe, il me paraît inutile d'utiliser autre chose que des mots de passe générés aléatoirement (quel que soit l'ensemble dans lequel on choisit). Intuitivement, c'est comme ça qu'on obtient le meilleur rapport difficulté à deviner / difficulté à retenir.
# On en est encore loin
Posté par Al . En réponse au journal La proche fin des mots de passe. Évalué à 2.
Sachant qu'on ne peut pas vraiment se passer d'authentification mais que, en même temps, personne ne veut y consacrer des sommes sans rapport avec le risque réel tout en prenant le risque de rebuter les utilisateurs, il y a quelques solutions déjà utilisables à ce jour, comme :
Les gestionnaires de mots de passe et les méthodes de dérivation de clés sont nettement moins pires, mais ne changent rien au fait qu'on a toujours de l'authentification à un seul facteur.
Tout ce qui est token cryptographique est bien pour satisfaire les besoins d'une entreprise avec un service central d'authentification et les moyens financiers suffisants. Mais la limite intrinsèque des puces cryptographiques est le faible nombre de clés privées asymétriques qu'elles peuvent stocker. Implicitement, cela pose un problème en termes de vie privée.
Dernière remarque : sur la complexité des mots de passe, il me paraît inutile d'utiliser autre chose que des mots de passe générés aléatoirement (quel que soit l'ensemble dans lequel on choisit). Intuitivement, c'est comme ça qu'on obtient le meilleur rapport difficulté à deviner / difficulté à retenir.