Imprimer
Envoyer
10 Réactions
61 Approbations
La firme de Mountain View propose aux utilisateurs une nouvelle manière de s'identifier sur des ordinateurs publics.
Google expérimente actuellement un nouveau moyen d'authentification à base de QR Code permettant de sécuriser au maximum l'accès à son compte utilisateur sur des ordinateurs publics (cybercafés, hôtels…).
Le but est bien sûr de ne pas avoir à taper son login et mot de passe sur le clavier d'un ordinateur accessible par tout le monde et pouvant être infecté par un mouchard enregistrant toutes les saisies effectuées via les touches du clavier.
Baptisé Google Sesame, ce nouveau système d'identification est relativement simple à appréhender, l'utilisateur se rend sur la page https://accounts.google.com/sesame et scanne le QR Code qui s'affiche à l'écran grâce à l'application adéquate de son smartphone (Google Goggles ou Barcode Scanner sur Android, QR App sur iOS, entre autres).
Le QR Code reconnu, le navigateur du téléphone ouvre alors la page d'authentification du compte Google que l'utilisateur n'a plus qu'à remplir et valider. Il ne reste plus qu'à rafraîchir la page login du navigateur de l'ordinateur ayant généré le QR Code afin d'être identifié et pouvoir accéder à ses données sans avoir une seule fois utilisé le clavier "physique".
Cette méthode est donc particulièrement sécurisée mais il faut tout de même veiller à bien être connecté au site Google.com en "https" et ne pas utiliser la même connexion WiFi que l'ordinateur public qui pourrait être surveillé.
Encore à l'état expérimental, ce système de sécurisation pourrait rapidement se généraliser si les retours utilisateurs sont concluants et participer à faire décoller l'utilisation de ces fameux QR Code.
|
Fibre optique : un accord important entre Orange et Bouygues Télécom | AMD riposte au Thunderbolt avec Lightning Bolt |
|
Flux RSS
Dernières réactions
on va sur le site de google, qui nous genere un QRcode
ce QR code, nous donne adresse SMS
on envoi un code a 32 chiffre a ce sms
google nous crypte un login avec ces chiffres et nous envois un mail
a reception de ce mail, on le transfert par fax a google
google nous confirme la reception par fax avec un numero de telephone
nous appelons alors ce numero qui nous donne une url avec un script qui allume notre webcam.
ne reste plus qu'a allez sur ce site et scanner notre iris pour avoir nous mot de passe de la session
Le fait que le smartphone soit sur le même réseau n'est pas un problème à mon avis : l'échange des identifiants entre Google et un client se fait toujours en HTTPS (même si on est sur un site Google non HTTPS, on est redirigé vers une page de connexion en HTTPS, puis on revient sur le site non HTTPS), donc même en sniffant le Wi-Fi, ils seront illisibles. Il faudrait avoir installé un keylogger sur le smartphone pour réussir à les récupérer.
Mais cette solution est quand même plus lourde à mettre en œuvre (notamment plus de trafic data sur le smartphone s'il est pas connecté en WiFi) que l'actuelle identification en deux étapes, tout en étant moins sécurisé, puisque avec l'identification en deux étapes, on n'est certes pas protégé contre le vol du mot de passe, mais on est protégé contre les conséquences de ce vol (pas possible de se connecter avec juste le login et le mot de passe).