25 fév 2009

Gérez vos passwords (mots de passe)

Publié par sous Sécurité

 

Je lisais récemment une enquête de Gartner Research sur nos pratiques de sécurité en ligne. Nous sommes tous intéressés par la sécurité mais les deux tiers d’entre nous n’utilisent qu’un ou deux mots de passe sur l’ensemble des sites Web consultés.

Notre pratique quotidienne d’Internet fait que nous sommes amenés à nous inscrire à des sites de plus en plus nombreux avec un identifiant et un mot de passe. OpenIdPrendre un identifiant et un mot de passe pour chaque site devient vite une galère à gérer même si des navigateurs avancés tel FIREFOX permettent l’enregistrement et la gestion de ces identifiants. A chaque connection à un site il faut lister les mots de passe pour obtenir le bon puis revenir au site.

D’autre part la qualité du mot de passe  utilisé laisse à désirer, car nous avons tendance à prendre des identifiants faciles à mémoriser.

Pourtant il existe des solutions, permettant de faire valider un mot de passe d’accès à un site par un tiers. Ceux qui font des transactions sur Ebay connaissent le système PAYPAL permettant de payer ses achats à un tiers afin d’éviter de donner son n° de compte bancaire ou de sa carte de crédit à un site inconnu.

Il existe depuis 2007 une association internationale à but non lucratif OpenId dont l’objectif est de fournir les infrastructures techniques et logiciel permettant de développer le modèle.

Un bon exemple vaux mieux que des tonnes d’explications voici donc un exercice pratique :

Tout d’abord vous devez vous incrire sur un site fournisseur d’identités (OpenId Provider); il en existe plusieurs, mais le plus simple est d’utiliser celui de la fondation OpenId; Vous choisissez un identifiant et  un mot de passe en échange vous obtiendrez une URI qui sera votre identifiant général OpenId. Par exemple vous choissez  comme identifiant JOISEAU votre URI chez le provider OpenId France sera http://www.openidfrance.fr/JOISEAU. Vous avez aussi la possibilité de renseigner d’autres informations pouvant servir à remplir certain formulaire.

Lorsque vous vous connectez sur un site Internet acceptant les identifiants OpenId, vous entrez, dans l’exemple en cours, http://www.openidfrance.fr/JOISEAU, alors le site internet vous met en relation avec le serveur d’authentification OpenID afin d’entrer votre mot de passe. Si le site Internet demande au serveur d’authentification d’autres informations (tel que votre adresse @mail par exemple) vous pouvez accepter ou non cette demande. Vous êtes alors redirigé vers le site Internet initial avec une preuve cryptographique de votre identité.

Il est à noter que cette autorisation reste valable tant que la session de l’utilisateur est active, c’est à dire que vous pouvez vous connectez sur tous les sites acceptant l’identification OpenID sans avoir besoin de vous ré-identifier.

Malgré la jeunesse de cet organisme,  de grandes sociétés ont rejoint OpenID parmi lesquelles  Microsoft, Google, Yahoo, IBM, Facebook, Paypal, etc… et un millier de sites demandant un identifiant ont rejoint le modèle. Vous avez même la possibilité d’envoyer un courrier standard aux sites non-adhérents pour les inciter à collaborer.

Je pense que l’amélioration de notre sécurité passe en partie par ce type de modèle et je vous incite à nous rejoindre.

 

Commentaires fermés sur Gérez vos passwords (mots de passe)