L’authentification forte pour contrer le vol de mots de passe
Depuis plusieurs années maintenant, le vol de mots de passe, issu de phishing ou piratages, est « le plus grand danger » pour la sécurité informatique. C’est Mark Risher, directeur de la gestion des produits chez Google, qui le dit dans le billet de blog posté le 6 mai 2021. Un véritable problème qui a pourtant une solution simple : l’authentification à plusieurs facteurs, appelée aussi authentification forte.
C’est celle qui est désormais obligatoire pour les transactions bancaires sur Internet, par exemple, et qui associe un mot de passe avec une confirmation physique de la part de l’utilisateur, comme une application dédiée sur smartphone ou un code envoyé par SMS. Sans cette confirmation physique, impossible de se connecter : c’est donc la garantie, ou presque, que le mot de passe volé ne peut pas être utilisé par un tiers.
C’est celle qui est désormais obligatoire pour les transactions bancaires sur Internet, par exemple, et qui associe un mot de passe avec une confirmation physique de la part de l’utilisateur, comme une application dédiée sur smartphone ou un code envoyé par SMS. Sans cette confirmation physique, impossible de se connecter : c’est donc la garantie, ou presque, que le mot de passe volé ne peut pas être utilisé par un tiers.
Google va instaurer l’authentification forte par défaut
Afin de sécuriser ses services, Google annonce donc, le 6 mai 2021, que l’authentification forte va devenir quasiment obligatoire. Le groupe va changer ses paramètres de sécurité pour l’imposer à tout utilisateur ayant bien paramétré son compte, et donc ayant associé un smartphone, par exemple. Une mesure importante qui pourrait, toutefois, causer quelques problèmes si l'on tente de se connecter aux services Google sans avoir le smartphone à portée de main.
Bien que Google espère que l’authentification forte deviendra une habitude pour tous les internautes, l’option devrait pouvoir être décochée, pour revenir à une authentification simple par seul couple login/mot-de-passe… qui reste vulnérable.
Bien que Google espère que l’authentification forte deviendra une habitude pour tous les internautes, l’option devrait pouvoir être décochée, pour revenir à une authentification simple par seul couple login/mot-de-passe… qui reste vulnérable.