Google et les mots de passe : une initiative de rupture ?
Google simplifie la double authentification sur ses services en ligne avec un système basé sur l’envoi de notifications vers le téléphone de l’utilisateur.
Où en est Google dans sa prise de distance vis-à-vis des mots de passe ?
Le groupe Internet a mis en place une nouvelle méthode d’authentification forte, nommée Prompt et basée sur l’envoi d’une notification vers les téléphones des utilisateurs qui cherchent à se connecter à leur compte.
Yahoo propose, depuis quelques mois, un service similaire baptisé « Account Key » et qui permet aux internautes d’accéder à leur messagerie électronique sans avoir à saisir ni mot de passe, ni code.
Chez l’un comme l’autre, cette technique d’authentification reste une option. Il est tout à fait possible de choisir l’envoi d’un code par SMS ou l’option clé USB, avec des produits tels que que la Yubikey, qui font office de « jeton physique ».
Pour ce qui est de Google Prompt, quelques conditions doivent être respectées : sur Android, mettre à jour les services Google Play ; sur iOS, installer l’application Google et activer le capteur d’empreintes digitales Touch ID.
Un écran de verrouillage devra par ailleurs être activé, afin de s’assurer qu’un tiers qui récupérerait le téléphone ne puisse pas accéder librement au compte Google.
Google Prompt – dont il était déjà question fin 2015 avec l’ouverture, sur invitation, d’un groupe de test « Sign-In Experiments at Google – s’appuie sur le service gratuit Google Cloud Messaging, qui permet d’envoyer des messages courts (1 024 octets au maximum) à des appareils identifiés évoluant sous Android, iOS ou Chrome.
Dans la pratique, le système se paramétrera à l’activation d’un terminal ou après l’installation d’une nouvelle ROM. Il pourra aussi être configuré manuellement, a posteriori.
À noter que Google se réserve le droit de demander le mot de passe si la moindre suspicion entoure la tentative d’authentification par smartphone.
Crédit photo : Peter Bernik – Shutterstock.com