Sécuriser l’accès à un compte : Google teste une alternative sans mot de passe
Google teste une nouvelle technique rapide d’authentification à un compte depuis un poste fixe, en ayant recours au smartphone.
Google creuse des pistes pour dépasser la phase classique de l’accès à un compte par mot de passe. Cette étape n’est plus suffisante en termes de sécurité IT : risque de divulgation, faiblesse des combinaisons…
C’est la raison pour laquelle, Google teste actuellement une nouvelle approche, selon Android Police. Pour un accès à un compte depuis un poste fixe, on oublie le passage du mot de passe et les systèmes d’authentification à double facteur. Et on garde son smartphone à côté de soi.
Le site média qui suit l’actualité Android a pris connaissance de ce projet grâce à un certain Rohit Paul (« rp1226 » sur Reddit), qui a été invité à rejoindre le groupe de test baptisé « Sign-In Experiments at Google ».
On peut le découvrir via un lien public mais l’accès au groupe se fait exclusivement par invitation.
La nouvelle technique d’accès, actuellement testée par Google, est enclenchée après une notification spéciale envoyée sur le smartphone de l’utilisateur (préalablement identifié en back-office dans son compte Google).
Elle est assez proche de la méthode « Account Key » déployée par Yahoo depuis octobre pour s’identifier à son compte de messagerie sans utiliser de mot de passe.
Avec la nouvelle technique de Google, il suffit de renseigner son adresse e-mail en vue d’accéder à son compte Google depuis un PC desktop.
Une notification apparaît alors sur l’écran du smartphone indiquant une tentative d’identification sur un autre appareil. Il suffit alors de répondre par l’affirmative pour finaliser l’authentification.
Simple et rapide, cette méthode nécessite toutefois d’avoir son smartphone à portée de main et qu’il soit rechargé.
Google invite également les testeurs à utiliser un code de verrouillage sur leur smartphone. Il est également possible de faire un « sign out » pour revenir au système classique d’authentification par mot de passe.
La firme Internet de Mountain View se laisse la possibilité de demander le mot de passe si la moindre suspicion entoure la tentative d’authentification par smartphone.
Autre recommandation : effacer son smartphone de la liste des appareils certifiés sur le compte Google en cas de perte ou de vol de celui-ci.
Le système fonctionne aussi bien sur iOS qu’Android et exploite le service gratuit Google Cloud Messaging (GCM) annoncé à la conférence Google I/O 2012.
Ce dernier permet d’envoyer des messages courts (1024 octets au plus) via un serveur à des appareils identifiés (évoluant sous Android, iOS ou Chrome).
(Crédit photo : kpatyhka, Shuttershock)