Google a déclaré aujourd’hui qu’il commencera à offrir aux utilisateurs de meilleures protections de sécurité pour se connecter à Gmail et à d’autres offres Google Apps. Ce processus de « vérification en deux étapes » – qui oblige les utilisateurs participants à saisir un identifiant d’utilisateur, un mot de passe et un code à six chiffres envoyé à leurs téléphones portables – signifie effectivement que Google offrira une authentification plus sécurisée que de nombreuses institutions financières américaines ne proposent actuellement pour leur en ligne. clients bancaires.
Le géant de la recherche mettra immédiatement la technologie à la disposition de ses clients (payants) et elle sera gratuite pour les consommateurs dans les prochains mois. Les utilisateurs qui choisissent de profiter de la technologie peuvent se faire envoyer les codes par SMS ou via une application mobile Google spéciale. Tous les appareils qui sont authentifiés avec succès peuvent ensuite être configurés pour ne pas nécessiter le processus en deux étapes pendant les 30 prochains jours.
Travis McCoychef de produit de Google Security, a déclaré que l’entreprise cherchait un moyen d’empêcher les prises de contrôle de compte Google rendues possibles par des mots de passe faibles ou volés.
« Nous voulions examiner et voir sur quel domaine nous pourrions travailler et qui aurait le plus grand impact sur la sécurité des utilisateurs », a déclaré McCoy. « Nous avons constaté que les noms d’utilisateur et les mots de passe finissent souvent par être le maillon faible de la chaîne en termes de compromission des comptes. »
Les entreprises qui ont décidé d’exiger une authentification matérielle à deux facteurs intègrent souvent des systèmes de sauvegarde ou de sécurité au cas où les clients choisiraient d’utiliser la sécurité supplémentaire mais n’auraient pas accès à l’appareil qui fournit ce deuxième facteur. PayPal, par exemple, permet aux utilisateurs d’exiger la saisie d’un mot de passe à usage unique généré à partir d’un porte-clés à piles fourni par le fournisseur de paiement en ligne ; les clients qui ont besoin d’accéder à leur compte mais qui n’ont pas le porte-clés avec eux peuvent toujours accéder à leur argent en répondant correctement à une série de questions d’identification.
De même, Google propose également une solution de sécurité alternative en fournissant à chaque utilisateur un ensemble de cinq codes d’accès à usage unique spécifiques à un compte. Les utilisateurs de Google Enterprise peuvent simplement demander à leur administrateur de désactiver temporairement la couche d’authentification secondaire s’ils ne peuvent pas accéder à leur téléphone (par exemple, si le téléphone est perdu, volé ou si la batterie est déchargée).
Je trouve remarquable que Google offrira bientôt gratuitement un niveau d’authentification de sécurité que de nombreuses banques n’offrent pas encore à leurs clients pour les services bancaires en ligne, même lorsque ces clients sont prêts à payer un supplément pour cela. Alors que les cyber-voleurs déjouent de plus en plus les approches d’authentification multi-facteurs comme celle que propose Google – et cette offre ne fera rien non plus pour arrêter les attaques de « phishing » qui incitent les utilisateurs à entrer des informations d’identification sur de fausses propriétés en ligne de Google – il est plus robuste que d’exiger un un nom d’utilisateur et un mot de passe simples, qui sont plus ou moins ceux sur lesquels de nombreuses banques commerciales s’appuient actuellement.
Je me suis souvenu de cela hier soir, lorsque j’ai été contacté par un homme d’affaires qui possède un restaurant à moins de trois kilomètres de chez moi. Son entreprise a récemment perdu près de 50 000 $ lorsque des cyber-voleurs sont entrés par effraction dans l’ordinateur d’un employé et ont volé le nom d’utilisateur et le mot de passe du compte bancaire en ligne de l’entreprise. J’ai accepté de ne pas nommer l’entreprise ou sa banque parce que la banque peut être disposée à offrir un règlement partiel si l’homme d’affaires accepte de ne pas rendre public l’affaire ou de déposer une plainte. Mais la seule chose séparant les voleurs de l’argent de cette victime était un nom d’utilisateur et un mot de passe.
La nouvelle offre de Google pourrait en fait aider à éviter cet écueil. McCoy a déclaré que l’application mobile de la société fonctionnera sur une norme ouverte conçue pour s’intégrer aux technologies d’authentification tierces. Alors que de nombreuses banques ont hésité à exiger des jetons de sécurité et des mots de passe à usage unique en raison du coût élevé de l’achat, de la distribution et de la maintenance de ces appareils, une solution qui vit sur le téléphone mobile du client pourrait être une solution gratuite et peu compliquée. façon de répondre à ces préoccupations.