C’est un sujet d’un grand intérêt et qui je crois jusqu’à sa résolution, va le rester.

Il y a plusieurs études qui détaillent ce que nous savions déjà, c’est que les mots de passe ne valent pas cher pour protéger l’information sensible. C’est pour cette raison que les systèmes qui exigent une plus grande protection sont protégés par des OTP, qui malgré la débandade de RSA, demeure un moyen efficace de protection de l’information. À cela nous pouvons ajouter un troisième facteur, soit quelque chose que nous sommes (triade ce que nous sommes, possédons et connaissons). Il y a aussi l’approche avec des certificats X.509 sur support physique qui permet d’atteindre un niveau 4 d’authentification. Par contre, pour avoir vu le degré de résistance à l’utilisation de telle technologie, il faudrait peut-être repenser comment nous déployons nos mesures de sécurité.

Quand les médias de masse se moquent des mots de passe et des systèmes qui sont en place, le problème est rendu grave. Le NY Times fait une belle démonstration ludique de comment une personne normale voit les mécanismes d’authentification qui sont en place. Si c’est le mieux que nous avons réussi à mettre en place, il est peut-être temps de repartir à zéro et de construire un système sur de nouvelles bases.