Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Suppression des mots de passe : des paroles de Google aux actes de Medium

Un email suffit
Internet 4 min
Suppression des mots de passe : des paroles de Google aux actes de Medium
Crédits : muharrem öner/iStock

La question de l'utilité des mots de passe revient régulièrement sur le devant de la scène. Si certains ont déjà franchi le pas en local avec le NFC ou les empreintes digitales, ils restent quasi indispensables pour s'identifier sur un site. Ce n'est plus le cas de Medium qui propose une alternative intéressante par email.

Les mots de passe sont en sursis si l'on en croit les déclarations de plusieurs géants du web, Google en tête. Dernière en date, la conférence I/O de fin mai (voir notre compte rendu) où le groupe de « pirates » ATAP dressait un bilan peu glorieux : « 70 % des utilisateurs oublient un mot de passe une fois par mois. Il faut en moyenne 2,4 essais avant d’entrer le bon mot de passe. Les humains sont une mauvaise source d’entropie ». Google en profitait alors pour présenter sa solution maison baptisée Abacus qui se base des capteurs afin d'identifier une personne.

Mais pour le moment, rien de bien concret n'a émergé et, de manière générale, le mot de passe reste quasiment incontournable pour s'identifier sur Internet. Afin de renforcer la sécurité, il est parfois doublé d'une double authentification via une clé USB de sécurité (FIDO U2F par exemple), une application dédiée ou bien un SMS envoyé sur votre téléphone portable ; de quoi limiter les risques en cas de fuites de données.

Pour se connecter à Medium, plus besoin de mot de passe, un simple email suffit

Dans un billet publié récemment, la plateforme de blogs Medium revient sur ce sujet et explique que « l'authentification est une affaire sérieuse ». Elle aussi dresse un constat peu flatteur : « Les mots de passe ne sont ni sûrs ni simples. De plus, ils sont soit difficiles à se rappeler, soit faciles à deviner, et tout le monde réutilise les mêmes (même s'ils savent qu'ils ne devraient pas le faire), et enfin ils sont difficiles à taper sur mobile ».

La plateforme annonce ensuite la mise en place d'un changement important avec un « processus de connexion aussi simple et sécurisé à utiliser que possible, et ce, sur toutes les plateformes » : un simple lien (avec un token) dans un email. Oui, rien de plus, aucun mot de passe ou code PIN à saisir.

Pour s'identifier, il suffit donc de se rendre sur Medium, de choisir la méthode d'authentification par email et d'entrer son adresse email. Une fois le lien reçu par courriel dans sa boite de réception, il suffit de cliquer dessus pour être redirigé et logué automatiquement sur Medium. Sur iOS, le lien ouvre directement l'application Medium, et cela arrivera prochainement sur Android.

La plateforme précise au passage que cela permet de se passer d'une identification par Facebook ou Twitter, qui était jusqu'à présent incontournable.

Medium authentification mailMedium authentification mailMedium authentification mail

Un lien valable une seule fois et pendant 15 minutes, mais pas de double authentification

Bien évidemment, certaines protections sont mises en place : le lien n'est valable que pendant 15 minutes et il est utilisable qu'une seule fois pour s'identifier. Afin de rassurer ses utilisateurs, Medium ajoute que sa procédure (par email) est finalement très proche de celle utilisée par de nombreux sites en cas de changement de mot de passe.

La plateforme enfonce le clou : « Cela semble contre-intuitif, mais c'est en fait plus sécurisé qu'un système par mot de passe. Sur la plupart des services, si quelqu'un devine ou dérobe votre mot de passe, il a accès à votre compte jusqu'à ce que vous changiez votre mot de passe, ce qui peut prendre du temps ». Pour Medium, sa solution présente en plus l'avantage de vous notifier dès que quelqu'un tente de se connecter à votre compte.

Pas d'emails chiffrés, dommage

Si le principe semble intéressant, il faudra par contre bien cadenasser sa boite email, qui est pour sa part généralement protégée par... un mot de passe. Il serait également bien que Medium propose l'envoi d'emails chiffrés afin d'éviter une interception, ce qui n'est malheureusement pas le cas pour le moment. On peut aussi imaginer que cette méthode d'identification par email puisse être combinée avec une double authentification (application, clé USB, SMS, etc.), mais ce n'est pas encore possible.

Quoi qu'il en soit, Medium a l'avantage de proposer une solution qui, même si elle est encore perfectible, semble plutôt intéressante sur le papier. Bref, sur la fin des mots de passe, il y a ceux qui en parlent et ceux qui proposent des solutions concrètes. Reste à voir si cela donnera des idées à d'autres.

Medium email

54 commentaires
Avatar de azerty774 Abonné
Avatar de azerty774azerty774- 02/07/15 à 13:33:18

C'est le serpent qui se mort la queue. C'est même pire, il suffit de pénétrer le compte mail pour ainsi pouvoir contrôler le compte Medium. Un mot de passe au lieu de deux. Je ne vois pas ce que ca sécurise, hormis si l'auth au compte mail est MFA ...

Avatar de FunnyD INpactien
Avatar de FunnyDFunnyD- 02/07/15 à 13:39:32

Pas convaincu, mais c'est bien d'essayer de régler ce problème.

Avatar de marba Abonné
Avatar de marbamarba- 02/07/15 à 13:41:42

Sujet délicat, pour moi la solution c'est d'avoir une clé usb «intelligente» qui peut produire des tokens à partir d'une clé pgp. Le truc c'est qu'avec l'essor des smartphones, les gens veulent du tout intégré et la sécurité…

Mozilla a lancé depuis un moment un projet ayant le même but :&#160https://login.persona.org/ et dont le fonctionnement est beaucoup plus sécurisé, dommage que ça ne prenne pas…

Avatar de DayWalker Abonné
Avatar de DayWalkerDayWalker- 02/07/15 à 13:46:35

Il est vrai que de retenir une "base" de mot de passe qu'on personnalise, c'est hyper difficile.
 
Il suffit de ne retenir que la "recette".

Avatar de Faith INpactien
Avatar de FaithFaith- 02/07/15 à 13:48:33

A la rigueur, un code envoyé par mail aurait pu faire l'affaire (on peut le recevoir sur le portable, pour l'utiliser sur le fixe). 

Mais un lien, c'est super pas pratique... et ça demande soit d'être toujours connecté à sa boite mail (donc mot de passe enregistré), soit de se connecter pour l'occasion... avec son mot de passe. 

Une "solution" bien fade, hélas.

Avatar de cmnt Abonné
Avatar de cmntcmnt- 02/07/15 à 13:56:23

Ce n'est pas pire puisque dans tout les cas, l'accès à Medium est possible via "mdp oublié".

Avatar de Pumpk1n INpactien
Avatar de Pumpk1nPumpk1n- 02/07/15 à 14:02:00

Ça marche jamais ça. Je fonctionnais comme ça mais certains sites demande de la ponctuation, d'autre pas, d'autre 2 types de ponctuations différent mais pas de point. Je passe aussi le site qui dit que ton mot de passe doit faire entre 6 et 8 caractères, pas de bol si le tiens en fait 9... Avec 2 majuscules qui ne se suivent pas etc. etc.
 
 Chaque site a son système, ce qui fait que la recette que j'appliquais de base... Bah elle marche plus. J'ai oublié les sites qui t'interdisent d'utiliser le même mot de passe que les 30 années précédentes (j'exagère à peine)...
 
 Bref aujourd'hui c'ets impossible de gérer tous ses mots de passes. Heureusement certains sites sont patients avec 5 essais, 3 essais c'est déjà + galère... J'aimerais vraiment un système mieux pensé mais je sais que c'est pas simple. La preuve, c'est que si je comprends bien Medium, il suffirait d'avoir accès au mail pour se connecter partout... Ah bah c'ets à peu près déjà le cas en faisant mot de passe oublié en fait. Donc pour moi c'est pas vraiment moins sécurisé... Faudrait juste ajouter une double authentification avec téléphone mobile.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 02/07/15 à 14:08:26

C'est exactement ce qu'on entend par "Les humains sont une mauvaise source d’entropie": l'existence d'une recette pour générer des mots de passe.

compte gmail: user=toto pass=totogmail
compte facebook: user=titi pass=titifacebook
compte itunes: user=tata pass=tataitunes
compte NXI: user=tutu pass=???? <-- hmmmm let me guess

:roll:

Édité par 127.0.0.1 le 02/07/2015 à 14:09
Avatar de MuadJC INpactien
Avatar de MuadJCMuadJC- 02/07/15 à 14:11:33

azerty774 a écrit :

il suffit de pénétrer le compte mail pour ainsi pouvoir contrôler le compte Medium.

+1
De plus, certain mdp comme sur steam ou SW:toR mettent déjà 15 minutes à arriver dans la BaL...

Édité par MuadJC le 02/07/2015 à 14:12
Avatar de anonyme_95bde7ad91b4483068f10094cf1c28ca INpactien

Encore une fausse bonne idée.
Ton serveur mail est en carafe, fini, plus d'accès à quoi que ce soit

Sans compter l'interception d'e-mails.

Encore une boîte qui veut faire parler d'elle

Il n'est plus possible de commenter cette actualité.
Page 1 / 6