Google et les mots de passe : un protocole pour les protéger tous
Google fait le point sur son expérimentation d’un protocole destiné à faciliter la détection des identifiants et des mots de passe compromis.
Avec toutes ces fuites de données, mes identifiants et mots de passe sont-ils encore sûrs ?
Des services comme PingPassword et HaveIBeenPwned entendent aider les internautes à répondre à cette question.
Google teste depuis quelques mois un outil similaire qu’il présente néanmoins comme plus sécurisé.
L’expérimentation est menée par le biais d’une extension pour le navigateur Chrome : Password Checkup. Elle se connecte à une base de 4 milliards de paires identifiant / mot de passe connues comme ayant filtré.
Une API publique hébergée sur Google Cloud permet d’exploiter le protocole sur lequel repose le dispositif.
Au-delà du navigateur
À l’occasion de la conférence USENIX organisée du 14 au 16 août à Santa Clara (Californie), les chercheurs du groupe américain sont revenus, avec des pairs de Stanford, sur ledit protocole.
Plusieurs engagements sont pris en matière de sécurité. Notamment le fait de ne jamais signaler d’informations permettant d’identifier un utilisateur.
Google cherche aussi à éviter tout détournement de son outil, que ce soit côté client ou côté serveur.
Il s’agit également, face aux protocoles cryptographiques qui remplissent un rôle comparable (PIR, PSI, OT…), de minimiser l’empreinte.
Pour le moment, l’extension Password Checkup requiert 256 Mo de mémoire côté client. Google estime ses coûts à 0,19 $ pour 1 000 requêtes API.
Il faut en moyenne 8,5 secondes pour retourner un résultat – la navigation pouvant être poursuivie entre-temps.
L’objectif à terme est de connecter les fournisseurs d’identité.
En attendant, Google communique quelques statistiques, relevées sur la période du 5 février au 4 mars 2019.
Au cours de ces 28 jours, un peu plus de 21 millions de connexions ont été recensées, sur quelque 747 000 domaines. Dans environ 1,5 % des cas, les utilisateurs ont renseigné un identifiant et/ou un mot de passe non sûr.
Google estime que le taux réel est probablement plus élevé. Et pour cause : les identifiants et mots de passe compromis ne donnent lieu qu’à un envoi de données vers le serveur. Les informations sont ensuite conservées en cache côté client.
Environ un quart des alertes ont engendré des changements d’identifiant et/ou de mot de passe. Un pourcentage similaire a été ignoré.