Categories: Cloud

Google et les mots de passe : un protocole pour les protéger tous

Avec toutes ces fuites de données, mes identifiants et mots de passe sont-ils encore sûrs ?

Des services comme PingPassword et HaveIBeenPwned entendent aider les internautes à répondre à cette question.

Google teste depuis quelques mois un outil similaire qu’il présente néanmoins comme plus sécurisé.

L’expérimentation est menée par le biais d’une extension pour le navigateur Chrome : Password Checkup. Elle se connecte à une base de 4 milliards de paires identifiant / mot de passe connues comme ayant filtré.

Une API publique hébergée sur Google Cloud permet d’exploiter le protocole sur lequel repose le dispositif.

Au-delà du navigateur

À l’occasion de la conférence USENIX organisée du 14 au 16 août à Santa Clara (Californie), les chercheurs du groupe américain sont revenus, avec des pairs de Stanford, sur ledit protocole.

Plusieurs engagements sont pris en matière de sécurité. Notamment le fait de ne jamais signaler d’informations permettant d’identifier un utilisateur.

Google cherche aussi à éviter tout détournement de son outil, que ce soit côté client ou côté serveur.

Il s’agit également, face aux protocoles cryptographiques qui remplissent un rôle comparable (PIR, PSI, OT…), de minimiser l’empreinte.
Pour le moment, l’extension Password Checkup requiert 256 Mo de mémoire côté client. Google estime ses coûts à 0,19 $ pour 1 000 requêtes API.

Il faut en moyenne 8,5 secondes pour retourner un résultat – la navigation pouvant être poursuivie entre-temps.

L’objectif à terme est de connecter les fournisseurs d’identité.

En attendant, Google communique quelques statistiques, relevées sur la période du 5 février au 4 mars 2019.

Au cours de ces 28 jours, un peu plus de 21 millions de connexions ont été recensées, sur quelque 747 000 domaines. Dans environ 1,5 % des cas, les utilisateurs ont renseigné un identifiant et/ou un mot de passe non sûr.

Google estime que le taux réel est probablement plus élevé. Et pour cause : les identifiants et mots de passe compromis ne donnent lieu qu’à un envoi de données vers le serveur. Les informations sont ensuite conservées en cache côté client.

Environ un quart des alertes ont engendré des changements d’identifiant et/ou de mot de passe. Un pourcentage similaire a été ignoré.

Recent Posts

Comment l’ascenseur mène sa révolution numérique

L’ascenseur n’est plus un équipement isolé et indépendant : connecté, augmenté, il devient « la colonne vertébrale…

1 semaine ago

MacBook : à quoi ressemblent les nouvelles gammes d’Apple… sans Intel

Apple lance ses premiers MacBook Air, MacBook Pro et Mac mini avec des processeurs Arm.…

1 semaine ago

Microsoft 365 : comment fonctionne le « score de productivité » ?

En test depuis plus d'un an sur sa suite bureautique cloud, le « score de…

3 semaines ago

Excel accélère sur les types de données personnalisés

Microsoft ouvre à une partie des utilisateurs d'Excel la possibilité de définir des types de…

4 semaines ago

Navigateur : comment Edge va remplacer Internet Explorer

Microsoft commence une expérimentation pour remplacer progressivement Internet Explorer par Edge. Ce basculement automatique ne…

4 semaines ago

Chrome OS accélère la virtualisation de Windows sur les Chromebook Enterprise

À l'approche du Chrome OS Demo Day, Google met en lumière des outils destinés à…

1 mois ago