Le modèle « l’e-mail fait office d’authentification »

 (rubenerd.com)
4 points par GN⁺ 2024-09-09 | 1 commentaires | Partager sur WhatsApp
  • La plupart des gens n’utilisent pas de bloqueur de publicité, de JavaScript restreint, ni de gestionnaire de mots de passe
  • Beaucoup de personnes suivent un processus de connexion comme celui-ci
    • Aller sur la page de connexion
    • Cliquer sur « J’ai oublié mon mot de passe »
    • Aller dans ses e-mails
    • Cliquer sur le lien de récupération
    • Saisir un mot de passe temporaire impossible à retenir
    • Recommencer
  • Si on leur demande pourquoi elles suivent ce processus, la plupart ne savent pas l’expliquer
  • La nécessité des gestionnaires de mots de passe, les risques d’usurpation d’identité, ainsi que la double authentification et l’authentification multifacteur ont déjà été largement discutés
  • Cela soulève la question de savoir pourquoi les gens utilisent « mot de passe oublié » comme moyen d’authentification
  • Ce n’est pas une décision consciente, mais une habitude qui s’est formée avec le temps
  • Réflexion sur la possibilité d’exploiter cette habitude pour concevoir des systèmes que les gens utiliseraient de manière plus efficace

Le résumé de GN⁺

  • Cet article traite de l’habitude qu’ont les gens de s’authentifier en passant par le processus d’oubli de mot de passe
  • Même si la nécessité des gestionnaires de mots de passe et de la double authentification a déjà été largement débattue, il pose la question de savoir pourquoi les gens suivent ce parcours précis
  • Il explore la possibilité de tirer parti de cette habitude pour concevoir de meilleurs systèmes de sécurité
  • Parmi les produits offrant des fonctions similaires, on peut citer LastPass, 1Password, etc.

À lire aussi

1 commentaires

 
GN⁺ 2024-09-09
Avis sur Hacker News

  • Le compte e-mail est la méthode la plus répandue pour l’authentification en ligne

    • Le numéro de téléphone est aussi une option crédible, mais les gens peuvent perdre leur téléphone portable
    • La sécurité des numéros de téléphone est inférieure à celle des comptes e-mail
    • Lors de la conception d’un système d’authentification utilisateur, il faut prendre en compte la récupération de compte

  • Lorsqu’une entreprise privilégie la simplicité, elle utilise un système d’authentification par e-mail

    • L’utilisateur saisit son e-mail
    • Un code de vérification est envoyé par e-mail
    • L’utilisateur saisit le code puis reste connecté « indéfiniment »
    • Si l’e-mail est nouveau, un compte est créé automatiquement
    • Certains utilisateurs peuvent créer par erreur de nouveaux comptes en utilisant plusieurs adresses e-mail
    • Cette méthode améliore fortement le taux de conversion entre l’inscription et la connexion

  • Les systèmes d’authentification basés sur les mots de passe sont peu réalistes

    • Les mots de passe sont utilisés de deux façons
      • Ils sont protégés par un mot de passe unique via un gestionnaire de mots de passe
      • Le même mot de passe est réutilisé sur plusieurs services
    • La plupart des services proposent une récupération par e-mail
    • Les comptes e-mail personnels sont rarement remplacés, ne sont pas partagés et ne sont pas réutilisés

  • Proposition d’une méthode de connexion consistant à envoyer par e-mail un lien URL à usage unique

    • Le lien expire au bout de 10 minutes et ne peut être utilisé qu’une seule fois
    • Toute personne possédant le lien peut se connecter, mais il n’est accessible que depuis l’e-mail
    • La sécurité dépend du compte e-mail

  • La raison pour laquelle les fournisseurs de services compliquent la vie des utilisateurs est simple

    • Les fournisseurs de messagerie ont des sessions qui expirent rarement
    • Il suffit d’aligner la durée du jeton d’authentification du service sur celle de la session Gmail, ou de permettre une connexion via OTP

  • La plupart des gens essaient simplement de faire quelque chose sur un ordinateur puis trouvent une solution

    • Les logiciels sont conçus par des gens qui comprennent bien les systèmes, mais ce n’est pas le cas des utilisateurs
    • Une fois qu’un utilisateur trouve un schéma qui fonctionne, il s’y tient
    • De nombreuses écoles utilisent des tablettes, ce qui ne permet pas d’acquérir de vrais réflexes d’usage de l’ordinateur

  • Certains sites suppriment l’étape « mot de passe oublié » et utilisent directement l’e-mail comme authentification

    • Saisir l’adresse e-mail
    • Recevoir un e-mail contenant un code
    • Saisir le code puis se connecter
    • Cela peut être peu pratique pour les personnes qui utilisent plusieurs adresses e-mail

  • Best Buy utilise une méthode similaire

    • Le mot de passe est enregistré dans un gestionnaire de mots de passe, mais il est indiqué comme invalide à cause de la protection ATO
    • À force d’essayer de résoudre le problème, on finit épuisé et on choisit la méthode la plus simple

  • Les parcours de connexion se ressemblent

    • A) Visiter le site web, copier-coller le mot de passe via le gestionnaire de mots de passe, puis recevoir une demande de TOTP par e-mail
    • B) Visiter le site web, cliquer sur « mot de passe oublié », recevoir un lien de connexion, puis saisir une chaîne aléatoire
    • La méthode B peut parfois être plus rapide

  • Si les utilisateurs n’enregistrent pas leurs mots de passe, c’est parce qu’ils n’ont pas de gestionnaire de mots de passe

    • Même lorsqu’ils connaissent les gestionnaires de mots de passe, changer de compte sur un PC cloud partagé est fastidieux
    • Les sites qui ne proposent pas de fonction d’enregistrement des mots de passe ne voient pas leurs mots de passe être enregistrés