Peut-être est-ce la dernière journée mondiale du « mot de passe » puisqu’on annonce partout qu’il est amené à disparaitre, remplacé par un moyen censé nous en affranchir.

Il y’a comme un constat d’échec vis-à-vis de la protection par « mot de passe ». Autrefois efficace, il est aujourd’hui remis en question car il ne répond plus aux standards actuels de sécurité.

Régulièrement on nous dévoile le classement des pires mots de passe utilisés mais quelle est vraiment la proportion d’utilisateurs qui se retrouvent dans ce classement, si c’est une minorité alors c’est plutôt compréhensible et on pourrait en rire, mais a contrario si c’est une grande majorité, alors il y a un sérieux problème. On aurait tort de conclure que le vrai problème n’est pas le « mot de passe » mais la manière dont les utilisateurs en font usage car il présente bien d’autres failles. Pour rappel, un mot de passe fort doit répondre à ces critères :

• Être composé de majuscules, de minuscules, de chiffres et de signes spéciaux.

• Être composé au total d’au moins une douzaine de caractères.

• Être changé régulièrement, une fréquence à 90 jours semble raisonnable.
  

Même en respectant tous ces critères et en le changeant régulièrement, le « mot de passe » reste vulnérable car il doit nécessairement être stocké quelque part et quel que soit ce lieu, celui-ci doit aussi répondre à un niveau de sécurité élevé.

C’est justement sur ces deux aspects que la prochaine norme d’authentification fera d’une pierre, deux coups : on n'aura plus besoin de « mots de passe » donc plus besoin de les conserver, deux soucis en moins.

On ne parlera plus de « mot de passe » mais de « clé d’accès ».

L'Alliance FIDO* (Fast IDentity Online) et les grands noms du secteur informatique veulent généraliser l’adoption de cette technologie d’authentification parce qu’elle revendique toutes les caractéristiques pour être infaillible.

* Association industrielle ayant pour mission de développer des standards d’authentification suffisamment performants au point de pouvoir se passer des mots de passe.

Concrètement, derrière la « clé d’accès », il y’a en réalité une paire de clés (clé publique et clé privée), on parle ici de chiffrement asymétrique. La clé publique est destinée à être diffusée tandis que la clé privée doit demeurer secrète. Une clé publique étant associée à une clé privée, toute donnée chiffrée avec une clé publique ne pourra être déchiffrée qu’avec sa clé privée. C’est en se basant sur ce principe qu’un algorithme se chargera de valider une requête d’authentification.

Soyez rassuré, côté utilisateur, c’est plus simple.

La « clé d’accès » est simplement générée à partir d’un appareil (smartphone, ordinateur…) ensuite vous n’aurez plus qu’à mettre à jour tous les comptes que vous possédez avec cette méthode de connexion.

Si on combine « biométrie » et « clé d’accès » pour se connecter alors effectivement on aura désormais plus besoin de mémoriser ni de conserver quelconque mot de passe (ou code PIN).

Mais gardez à l’esprit que la « clé d’accès » comme pour « le mot passe » est juste un des maillons d’une chaîne de sécurité. Il suffit d’un maillon faible pour briser cette chaîne.

Ce maillon faible pourrait être découvert lors de la phase de récupération. Nous pouvons aisément imaginer que la plupart des utilisateurs auront une clé d’accès sur leur smartphone. C’est un appareil qui se casse, qui se vole ou qui se perd.

Et les méthodes proposées pour récupérer une « clé d’accès » pourraient être son « Talon d'Achille ».

Proclamer la fin du « mot de passe » est donc prématuré.