-- http://desguin.net 29 juillet 2009 à 12:50 (UTC)

Je crois qu'il faut réfléchir sérieusement à une alternative aux mots de passe. Jamais le citoyen ordinaire soucieux de sa vie privée et de sa sécurité ne pourra mettre en œuvre une politique satisfaisante de mots de passe, avec autant de clefs que de serrures à ouvrir, une complexité suffisante de ses mots ou phrases de passe, et une mémoire d'éléphant. Personne n'a un jeu complet de mots de passe uniques et incraquables pour sa carte bancaire, sa carte de crédit, son courriel, sa connexion, son réseau wifi, son coffre-fort, son téléphone, sa carte SIM, son ordinateur de bureau, son portable, sa clef PGP, et que sais-je encore. Pour ma part je dois avoir une centaine de mots de passe (avec de nombreux doublons évidemment).

Première possibilité qui vient à l'esprit : la biométrie (empreinte digitale, fond de l'œil, signature vocale, etc.) C'est bien, mais ça demande un équipement normalisé, relativement coûteux, et généralisé à toutes les situations nécessitant de s'authentifier (portes de la maison et du garage, voitures, ordinateurs, téléphones, mémoires amovibles, distributeurs de billets,...) Ce n'est pas pour tout de suite, sans compter qu'à la moindre défaillance on est totalement paralysé (imaginons le cas d'une brûlure à l'index dont l'empreinte a servi de clef).

Deuxième possibilité : la puce d'identité (pas forcément RFID c'est-à-dire pas nécessairement lisible à distance). Il y en a une dans votre carte d'identité, dans votre passeport, vos cartes bancaires, ça se généralise peu à peu. De plus en plus d'équipements sont capables de les lire, y compris des équipements personnels. Problème : les garanties de respect de l'intimité de l'individu ne seront jamais complètement rassurantes. Difficile de me prouver que mon identité et ma présence en ce lieu et à ce moment sont "oubliées" aussitôt après que la machine m'a ouvert la porte, allumé mon ordinateur ou mon téléphone, craché mes billets de 100 euros, rempli mon réservoir, etc. Généralement d'ailleurs, tout cela est dûment enregistré.

D'autres possibilités ? Une solution simple et sans menace à la clef (si j'ose dire) ?

Re: -- Wluce0 29 juillet 2009 à 12:54 (UTC)

wola, tu pars dans des idées beaucoup trop lointaines et irréalisable, le mot de passe à l'avantage d'être intangible on a besoin de rien d'autre que sa tête pour ouvrir un accès lui même inexistant (si c'est un logiciel). En revanche, il conviendrait de proposer une méthode générique comme par exemple créer des hash sur des mots de passes (à la limite un mot de passe de base + le site web et le tout hashé). on pourrait même proposer une extension firefox qui ferait ça.

Re: Re: -- http://desguin.net 29 juillet 2009 à 13:04 (UTC)

Firefox sait faire ça sans extension (le super mot de passe sous lequel se cachent tous les autres). Mais Firefox n'est que mon navigateur web : il ne distribue ni essence ni billets de 100 euros, n'ouvre pas la porte de mon garage, ne démarre pas ma voiture, et ne paie pas mes mes achats à la caisse de Carrefour. J'essayais d'imaginer un système me permettant de m'identifier dans toutes les situations, sans compromettre ma vie privée ni ma sécurité.

Re: Re: Re: -- Wluce0 29 juillet 2009 à 13:09 (UTC)

Dans ce cas je pense que tu n'es pas au bon endroit puisque ce wiki s'intéresse essentiellement aux technologies de l'Internet. Ensuite je ne pense pas que ce soit une bonne idée de chercher un seul moyen d'identification quelque soit la technologie utilisé. Je trouve absurde d'utiliser le même moyen d'identification pour m'identifier auprès d'un site web que pour ouvrir la porte de chez moi. La diversité offre également une sécurité, si tu te fais piquer ton mot de passe, le type ne pourra pas te voler ta vie. L'exemple de twitter montre bien la faiblesse d'une identification unique.

Re: Re: Re: Re: -- http://desguin.net 29 juillet 2009 à 14:53 (UTC)

Ok, mais même en restant dans ce périmètre, le problème demeure. Comment gérer les multiples accréditations qu'il faut nécessairement avoir ? Firefox le fait (plutôt bien, encore faut-il sauvegarder son profil sans le compromettre), mais uniquement dans son domaine de navigateur. Je suppose qu'on doit trouver sans difficulté un utilitaire qui assure cette gestion pour l'ensemble du poste de travail, y compris le réseau local , la connexion, les applications, les dossiers confidentiels, etc. Restent deux questions :

• On a souvent au moins deux postes de travail, pro et perso. J'admets que cela peut justifier deux porte-clefs différents. Mais on a aussi un smartphone avec lequel on fait peu ou prou les mêmes choses qu'avec ses deux PC.

• On a de toute façon au moins un porte-clefs à clefs multiples qui est en lui-même une vulnérabilité : il peut être volé ou perdu, et aucun des utilitaires que je connais n'est capable de gérer globalement la nécessaire longue marche consistant à (1) récupérer les accès qu'on a perdus, (2) renouveler tous les mots de passe compromis.

D'où mon souci de trouver un substitut au principe même des mots de passe.

=Re: Re: Re: Re: Re: -- Wluce0 29 juillet 2009 à 15:06 (UTC)=

Tu touches à des problèmes qui sont trop vastes pour ce modeste wiki. De plus il existe déjà certaines solutions comme le single sign-on, regarde si tu ne connais pas http://fr.wikipedia.org/wiki/OpenID ainsi que http://openid.net/. Ensuite tu introduis le problème de l'identification sur des machines physiques différentes, c'est un des défis de l'internet du futur ! est-ce encore raisonnable d'attribuer une IP à une seule machine quand chaque utilisateur à plusieurs machines. Quoiqu'il en soit c'est hors-sujet.