Medium réinvente l’authentification… en se basant sur le mail
Se connecter sans mot de passe, par e-mail : une bonne idée sur le papier, mais un potentiel cauchemar en matière de sécurité informatique.
Le site de blogging Medium vient de trouver une solution intéressante, quoiqu’un brin lourde, à la problématique des mots de passe : l’e-mail.
Ce service propose en effet de remplacer la connexion par mot de passe par un système d’activation d’accès via un lien spécifique envoyé aux utilisateurs par courrier électronique. Une alternative aux connexions par compte Twitter ou Facebook proposées précédemment.
« L’authentification est une affaire sérieuse. Nous voulions faire de notre processus de connexion quelque chose d’aussi sécurisé et simple à utiliser que possible, sur toutes les plates-formes. Les mots de passe ne sont ni sûrs, ni simples. Ils sont difficiles à se rappeler ou faciles à deviner. [L’authentification par e-mail] semble contre-intuitive, mais est en fait plus sécurisée qu’un système par mot de passe, » explique Medium dans son communiqué.
Une fausse bonne idée ?
Dans l’absolu, nous ne pouvons que donner raison à Medium : les mots de passe sont en effet pénibles à retenir, ce qui pousse à utiliser des identifiants faciles à se rappeler et identiques sur plusieurs sites. Une aubaine pour les pirates qui exploitent allégrement ces faiblesses.
Toutefois, c’est une faille béante qu’ouvre ici le site de blogging. Avec les e-mails, les pirates n’auront même plus à tenter de deviner les mots de passe des utilisateurs. Rappelons en effet que les e-mails et leur contenu circulent en général en clair sur la Toile. Si l’écoute de l’intégralité des flux du Net reste hors de portée de la plupart des pirates, les services de renseignement pourront sans souci s’engouffrer dans cette brèche.
À lire aussi :
Un mot de passe sur deux peut être craqué en 24 heures
Le gestionnaire de mots de passe LastPass piraté, mais rassure
Google se paye SlickLogin et son système d’authentification sonore
