Cet article est une réplique à https://www.pcmag.com/article/334629/signing-into-websites-with-google-facebook-is-good-for-secu.
Avec la venue du Web 2.0 et plus particulièrement les réseaux sociaux est apparue la gestion des multiples mots de passe. Comme la plupart des gens ne sont pas informés et accordent peu de temps et d’efforts à leur sécurité informatique personnelle, ce n’est pas surprenant qu’il y ait autant d’incidents. Les mots de passe faible, les mots de passe réutilisés de site en site sont évidemment des recettes à succès pour se faire voler ses informations.
Que les gens aient réalisé ou non l’importance des mots de passe forts et uniques, beaucoup ont ensuite commencé à utiliser les voûtes de mots de passe, en ligne ou non, mais cela sera hors de la portée de ce billet. Voir cet article pour créer de bons mots de passe si votre voûte ne les crée pas pour vous.
Ce qui est nouveau est la possibilité de s’authentifier en utilisant un service d’authentification tierce partie. C’est ce que certains appellent le social login. Personnellement, je n’ai jamais vu l’intérêt de réutiliser mes identifiants (credentials) d’un autre site au lieu d’en créer de nouveau. En effet, à l’aide des voûtes, on peut en créer de nouveaux assez facilement.
Quels sont donc les avantages ? Il y a évidemment la simplicité, mais comme la création d’identifiants est quelque chose qu’on fait une seule fois, je ne vois pas pourquoi il devrait peser dans la balance.
Pour analyser la situation de plus près il faut revenir à un concept fondamental en sécurité informatique : la confiance. Avez-vous plus confiance en votre voûte ou en ce site tierce parti (Google, Facebook) ?
D’un point de vue plus philosophique, on pourrait se poser la question suivante : pourquoi créer une dépendance de plus envers le big four ?
Finalement, quelles informations sont partagées et échangées ? Comme nous avons peu de contrôle sur ce qui est partagé en ce moment et surtout dans le futur, cela défait le principe de sécurité du « besoin d’en connaître » plus connu avec son appellation anglais soit le principe du need-to-know.
Source :
https://www.pcmag.com/article/334629/signing-into-websites-with-google-facebook-is-good-for-secu
pmcinf 