Pour gérer vos consentements :
Categories: Cloud

Google et les mots de passe : un protocole pour les protéger tous

Avec toutes ces fuites de données, mes identifiants et mots de passe sont-ils encore sûrs ?

Des services comme PingPassword et HaveIBeenPwned entendent aider les internautes à répondre à cette question.

Google teste depuis quelques mois un outil similaire qu’il présente néanmoins comme plus sécurisé.

L’expérimentation est menée par le biais d’une extension pour le navigateur Chrome : Password Checkup. Elle se connecte à une base de 4 milliards de paires identifiant / mot de passe connues comme ayant filtré.

Une API publique hébergée sur Google Cloud permet d’exploiter le protocole sur lequel repose le dispositif.

Au-delà du navigateur

À l’occasion de la conférence USENIX organisée du 14 au 16 août à Santa Clara (Californie), les chercheurs du groupe américain sont revenus, avec des pairs de Stanford, sur ledit protocole.

Plusieurs engagements sont pris en matière de sécurité. Notamment le fait de ne jamais signaler d’informations permettant d’identifier un utilisateur.

Google cherche aussi à éviter tout détournement de son outil, que ce soit côté client ou côté serveur.

Il s’agit également, face aux protocoles cryptographiques qui remplissent un rôle comparable (PIR, PSI, OT…), de minimiser l’empreinte.
Pour le moment, l’extension Password Checkup requiert 256 Mo de mémoire côté client. Google estime ses coûts à 0,19 $ pour 1 000 requêtes API.

Il faut en moyenne 8,5 secondes pour retourner un résultat – la navigation pouvant être poursuivie entre-temps.

L’objectif à terme est de connecter les fournisseurs d’identité.

En attendant, Google communique quelques statistiques, relevées sur la période du 5 février au 4 mars 2019.

Au cours de ces 28 jours, un peu plus de 21 millions de connexions ont été recensées, sur quelque 747 000 domaines. Dans environ 1,5 % des cas, les utilisateurs ont renseigné un identifiant et/ou un mot de passe non sûr.

Google estime que le taux réel est probablement plus élevé. Et pour cause : les identifiants et mots de passe compromis ne donnent lieu qu’à un envoi de données vers le serveur. Les informations sont ensuite conservées en cache côté client.

Environ un quart des alertes ont engendré des changements d’identifiant et/ou de mot de passe. Un pourcentage similaire a été ignoré.

Recent Posts

Teams de plus en plus connecté aux CRM

La croissance de Teams passe par son intégration avec les principales solutions de CRM. Si…

5 jours ago

Windows 365 : focus sur la solution DaaS de Microsoft

À quoi ressemble Windows 365 ? Gros plan sur l' offre DaaS de Microsoft fondée…

1 semaine ago

Poste de travail : comment les Chromebook font leur trou

Plusieurs indicateurs illustrent l'augmentation des Chromebook sur le marché du PC. Reste à savoir s'il…

2 semaines ago

Assurances cyber : ce que prévoit l’État pour 2022

Face aux attaques répétées qui menacent les entreprises, le gouvernement veut établir un plan d'action…

2 semaines ago

Open RAN : comprendre ces réseaux de nouvelle génération

Open RAN a été l'un des sujets forts de l'édition 2021 du MWC. Focus sur…

3 semaines ago

RGPD : comment transférer des données hors de l’UE

Pour effectuer des transferts de données personnelles vers des pays hors de la zone économique…

3 semaines ago