Mot de passé mobile (part 4)
Comme beaucoup de monde, je navigue de plus en plus à l’aide d’une tablette et de mon téléphone intelligent. Pour de la navigation “non authentifié”, ça ne cause pas de problème.
Par contre, lorsque nous devons commencer à naviguer sur des sites “authentifié”, ça devient plus complexe. Saisir un mot de passe sur un téléphone intelligent c'est une douleur. Devoir saisir des mots de passe complexe pour chaque site que nous visitons, c'est une trop grande douleur. Pour la majorité des gens, c'est une incitation à la simplification des mots de passe, en réduisant la diversité (même mot de passe partout) et en réduisant la complexité (comme j’ai déjà mentionné, c'est ardu de saisir un mot de passe complexe sur un petit écran… et un petit clavier). Nous faisons donc un système, qui au lieu d’inciter de meilleures habitudes crée l’effet opposé.
Le “plasteur” que j’utilise est un gestionnaire de mots de passe. Cela me permet d’accéder à mon trousseau de mots de passe complexe sans avoir à les mémoriser. Par contre, la faible intégration (ici, ce n’est pas la faute des concepteurs, mais du design même du iOS) avec le navigateur web empêche une intégration comme nous voyons sur le desktop. Alors, pour saisir un mot de passe complexe ça me prend 7 étapes (switch d’application, premier déverrouillage de 1Password, sélection du mot de passe, deuxième déverrouillage, copie du mot de passe, retour à la page web et copie du mot de passe) pour arriver à accéder à mon compte. C’est trop long et décourage d’utiliser cette avenue.
Je suis d’avis qu’il est de notre responsabilité comme professionnel en sécurité de cesser de prendre le chemin le plus facile pour nous et de proposer à nos clients et employeurs des mesures novatrices pour la gestion de l’authentification.
À ce titre, le très mal aimé certificat X.509 présente une avenue intéressante pour rendre le processus d’authentification transparent entre le téléphone intelligent et le site web. Il est aussi possible d’utiliser des leviers comme OAuth (Twitter+OAuth+iPhone quelqu’un?). Le Mac OSX et iOS offre aussi le service Keychain qui permet le stockage des mots de passe et certificats. Étant qu’un très novice programmeur iOS, je ne peux pas me prononcer sur ce qui est possible de faire de ce côté. À tout le moins, il devrait y avoir une meilleure intégration entre la composante desktop et téléphone intelligent, comme le fait tous les gestionnaires de mot de passe tiers.
L’autre avenue est de faire une App spécifique pour l’accès à un service. À partir de ce moment, l’authentification à ce service est intégrée à même le Keychain du iOS et permet donc une authentification transparente à l’utilisateur (Twitter, YouTube, Facebook, LinkedIn). L’expérience utilisateur est ainsi améliorée, tout en effectuant un transfert progressif dans le “jardin muré” d’Apple ou Google. La facilité d’utilisation a l’effet pernicieux de nous mener vers des systèmes “curated”.
Ces avenues présentent des solutions qui peuvent fonctionner et même devenir dominantes. Avant de foncer tête baissée dans l’une de ces solutions, il vaut la peine de regarder les effets collatéraux d’une telle utilisation.