À propos de l'identification

La sécurité, dans Internet comme ailleurs, passe entre autres par l'identification des individus. Il est bien sûr possible de procéder à certaines tâches de manière (relativement) anonyme, mais pour une entreprise ou pour un logiciel donné, il importe de calibrer le niveau de service et de privilège offert de manière conséquente avec l'identité et les droits de l'entité ayant recours aux services en question.

Certificats

Il arrive qu'une entité affirme son identité et qu'il faille valider cette prétention auprès d'un tiers. L'affirmation d'identité prend la forme d'un certificat, et le tiers est alors une autorité de certification, entité jugée digne de confiance par la communauté. Ce système, bien que faillible, fonctionne pas trop mal en pratique.

Pédagogie

Quelques textes pour mieux comprendre ce que sont les certificats et les autorités qui en sont responsables.

• Texte de 2013 par David Blake, expliquant ce que sont les autorités de certification et comment il est possible d'abuser de ce système : https://www.scantosecure.com/blog/ssl-certificate-authorities-use-and-abuse
• En 2014, Firefox annonce le support du Public Key Pinning, approche mise de l'avant par Chrome et par laquelle le passage par des autorités de certification suspectes devrait être plus ardu que par le passé :
  • explication technique, par Monica Chew en 2014 : http://monica-at-mozilla.blogspot.ca/2014/08/firefox-32-supports-public-key-pinning.html
  • article de Dennis Fisher en 2014 : https://threatpost.com/mozilla-to-support-key-pinning-in-firefox-32/107976
• Valider l'identité des usagers d'un microservice, par Bill Doerrfeld en 2015 : http://nordicapis.com/how-to-control-user-identity-within-microservices/

Incidents

Comme dans tout système basé sur la confiance, il existe des risques au mécanisme de certification et de validation des prétentions.

• En 2012, suite à une fuite de certificats valides ayant mené à la propagation d'un logiciel malveillant se faisant passer pour un installateur du logiciel Adobe Flash Updater, certains souhaitent mettre en place une solution technologique pour raffermir la validation des certificats. À ce sujet, texte de Ben Laurie et Cory Doctorow : http://www.nature.com/nature/journal/v491/n7424/full/491325a.html
• Texte de 2013 par David Blake, expliquant ce que sont les autorités de certification et comment il est possible d'abuser de ce système : https://www.scantosecure.com/blog/ssl-certificate-authorities-use-and-abuse
• Dans ce texte de 2014, Jeremy Tunnell relate ce qu'il qualifie de « comédie d'erreurs » dans un cas de gestion de mots de passe : http://www.jeremytunnell.com/posts/swab-password-policies-and-two-factor-authentication-a-comedy-of-errors

Mots de passe

Nombreux sont les sites, logiciels, systèmes d'exploitation et autres outils qui, aujourd'hui, requièrent des mots de passe de qui souhaite les accéder.

Considérations générales

• Un point de vue bancaire du problème avec les mots de passe, par Brett King en 2012 : http://www.banking4tomorrow.com/2012/03/the-problem-with-passwords/
• Devrait-on standardiser les politiques de mots de passe? La position de Brian Neal en 2012 : http://aceshardware.wordpress.com/2012/05/28/a-case-for-standardizing-password-security/
• Selon Bruce Schneier en 2009, une fois un usager authentifié, il est très ardu de le dé-authentifier : http://threatpost.com/en_us/blogs/difficulty-un-authentication-092809
• Vous souhaitez empêcher les usagers d'utiliser des mots de passe trop communs? Désolé, mais il existe un brevet à ce sujet... Sans commentaires. Texte de Mark Burnett en 2012 : http://xato.net/passwords/want-to-block-common-passwords-sorry-that-is-patented/
• Cinq mythes quant à la sécurité qu'offrent les mots de passe, identifiés par Brent Jensen en 2013 : http://www.stormpath.com/blog/5-myths-password-security
• La vie secrète des mots de passe, et ce qu'ils révèlent sur nous, un texte de 2014 par Ian Urbina : http://www.nytimes.com/2014/11/19/magazine/the-secret-life-of-passwords.html?_r=1
• Série de textes en 2014 portant sur la question de la sécurisation par voie de mots de passe, par Davey Shafik :
  • pourquoi utiliser bcrypt? https://blog.engineyard.com/2014/password-security-part-1
  • comment utiliser bcrypt avec quelques langages : https://blog.engineyard.com/2014/password-security-part-2
  • anatomie d'un hash : https://blog.engineyard.com/2014/password-security-part-3
• Comment entreposez-vous les réponses aux questions de sécurité en cas de perte de mot de passe? Texte de Mahmoud Al-Qudsi en 2015 : https://neosmart.net/blog/2015/never-store-answers-to-security-questions-in-plain-text/
• Devrait-on permettre aux fureteurs de ... compléter les mots de passe? Et si oui, comment y arriver? Texte d'Aris Adamantiadis en 2015 : http://blog.0xbadc0de.be/archives/124

La question de la qualité des mots de passe

D'autres rubriques de cette page décrivent des caractéristiques de qualité de mots de passe sous diverses lorgnettes. Celle-ci se concentre strictement sur la qualité des mots de passe en lien avec leur résistance à d'éventuelles attaques.

• Une analyse faite par Bruce Schneier en 2006 sur la qualité de 34000 mots de passe : http://www.schneier.com/blog/archives/2006/12/realworld_passw.html
• Une représentation visuelle des motes de passe les plus répandus : http://www.dragonresearchgroup.org/insight/sshpwauth-cloud.html
• Étude de 2011 par Thomas Baekdal sur l'utilité et l'utilisabilité des mots de passe : http://www.baekdal.com/tips/password-security-usability?
• L'excellente bande-dessinée xkcd suggère, en 2011, quelques pistes en lien avec la qualité des mots de passe : http://xkcd.com/936/ (et Jeff Preshing, sur http://preshing.com/20110811/xkcd-password-generator, suggère un outil pour générer des mots de passe à la hauteur)
• La science du choix d'un mot de passe, selon Troy Hunt (spécialiste chez Microsoft) en 2011 : http://www.troyhunt.com/2011/07/science-of-password-selection.html
• Briser des mots de passe grâce aux GPU :
  • http://www.tomshardware.com/reviews/password-recovery-gpu,2945
  • http://www.zdnet.com/blog/hardware/cheap-gpus-are-rendering-strong-passwords-useless/13125
  • texte de Kyle Rankin en 2012 : http://www.linuxjournal.com/content/hack-and-password-cracking-gpus-part-iii-tune-your-attack
• Une analyse d'environ 62000 mots de passe, par Aviv Ben-Yosef en 2011 : http://www.codelord.net/2011/06/18/statistics-of-62k-passwords/
• En 2012, un questionnement à savoir si les caractères Unicode devraient être supportés dans les mots de passe : http://blogs.perl.org/users/ovid/2012/02/unicode-and-passwords.html
• Selon Dan Goodin en 2012, les mots de passe n'ont jamais été plus faibles que maintenant (au moment où il a écrit son texte, du moins) et les attaquants n'ont jamais été aussi puissants : http://arstechnica.com/security/2012/08/passwords-under-assault/
• Comment mesure-t-on la force d'un mot de passe? Un texte d'Amir Kumar Gupta en 2013 : http://akgupta.ca/blog/2013/06/06/entropy-how-password-strength-is-measured/
• Réfléchir à une technique pour obtenir un mot de passe à la fois mémorable et difficile à briser, par John D. Cook en 2014 : http://www.scilogs.com/hlf/mental-cryptography-and-good-passwords/
• Selon Jeff Atwood en 2015, la clé d'un mot de passe solide est encore et toujours sa longueur : http://blog.codinghorror.com/your-password-is-too-damn-short/

La question des règles et de la complexité des mots de passe

Certaines entreprises imposent des règles contraignantes quant à la complexité des mots de passe (longueur, majuscules, minuscules, chiffres, autres symboles, répétitions, fréquence de modification, délai minimal entre deux occurrences du même mot de passe, etc.). D'autres sont plus souples. Qu'est-ce qui constitue une politique raisonnable?

• Un spécialiste de Microsoft, Jesper Johansson exprimait, en 2005, l'opinion selon laquelle nous devrions permettre aux humains d'écrire leurs mots de passe quelque part, du fait qu'ils en ont de plus en plus et que l'alternative serait d'utiliser un plus petit nombre de mots de passe distincts (ce qui n'est pas nécessairement moins risqué) : http://news.cnet.com/Microsoft-security-guru-Jot-down-your-passwords/2100-7355_3-5716590.html?tag=nefd.ac
• Chez RSA Security, en 2005, une étude suggérait que la complexité et la multiplicité des mots de passe entraînait, chez les usagers, des comportements à risque : http://www.rsa.com/press_release.aspx?id=6095
• En 2005, Calum Macleod discutait des mots de passe qu'on ne change jamais : http://www.net-security.org/article.php?id=879
• Avoir un mot de passe « robuste » est-il vraiment utile? Une étude de Dinei Florêncio, Cormac Herley et Baris Coskun en 2007 : http://www.usenix.org/event/hotsec07/tech/full_papers/florencio/florencio.pdf
• Texte de 2010 sur la sélection de mots de passe à la fois simples et sécuritaires, par Simson Garfinkel : http://www.technologyreview.com/computing/25826/
• Une démonstration par l'absurde, par Alex Papadimouldis en 2011 : http://thedailywtf.com/Articles/Security-by-PostIt.aspx
• En 2011, Jason Hong trouve qu'on exagère : http://cacm.acm.org/blogs/blog-cacm/123889-password-policies-are-getting-out-of-control/fulltext
• En 2011, Greg Slovacek propose une variante des mots de passe générés automatiquement, soit les phrases générées automatiquement : http://asana.com/2011/09/6-sad-squid-snuggle-softly/
• Une recherche sur l'état et le rôle des mots de passe, parce qu'il existe beaucoup d'opinion mais beaucoup moins de faits vérifiés sur ce sujet, par Cormac Herley et Paul C. van Oorschot, en 2011 : http://research.microsoft.com/pubs/154077/Persistence-authorcopy.pdf
• Est-il vraiment plus utile d'utiliser des « phrases de passe » plutôt que des mots de passe?
  • ce n'est pas clair, de l'avis de Joseph Bonneau en 2012 : http://www.lightbluetouchpaper.org/2012/03/07/some-evidence-on-multi-word-passphrases/
  • pour sa part, ce texte de 2015 y voit une avancée ergonomique : http://uxmovement.com/forms/why-passphrases-are-more-user-friendly-than-passwords
• Comment imposer à un usager d'avoir des mots de passe différents d'un site à l'autre? L'approche de Diego Basch, en 2012 : http://diegobasch.com/enforcing-different-passwords-for-different-sites
• Suite à une fuite de mots de passe chez Gmail en 2014, voici quelques statistiques quant aux mots de passe utilisés en pratique : https://blog.lastpass.com/fr/2014/09/the-scary-truth-about-your-passwords-an-analysis-of-the-gmail-leak.html/
• Comment choisir un mot de passe sécuritaire, selon Bruce Schneier :
  • texte de 2007 : http://www.schneier.com/blog/archives/2007/01/choosing_secure.html
  • texte de 2014 : https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html
• En 2015, Ryan Winchester implore qu'on le laisse tranquille avec les règles pour la qualité des mots de passe : http://ryanwinchester.ca/post/stop-forcing-your-arbitrary-password-rules-on-me
• L'opinion de John D. Cook, en 2014, sur ce qui fait un bon mot de passe : http://www.scilogs.com/hlf/mental-cryptography-and-good-passwords/

La question de la confiance

Comme le veut l'adage, une chaîne est aussi forte que l'est son plus faible maillon. Sachant cela, rien ne sert d'avoir des règles extrêmement complexes pour les mots de passe si les humains qui connaissent ces mots en viennent à les divulguer.

Quelques liens sur le sujet :

• Une étude menée en 2004 montre que plusieurs humains sont disposés à révéler leur mot de passe en échange d'une barre de chocolat : http://news.bbc.co.uk/2/hi/technology/3639679.stm
• Une étude menée en 2010 qui révèle les pratiques souvent bêtes des gens en lien avec leurs mots de passe : http://www.securityweek.com/survey-reveals-how-stupid-people-are-their-passwords
• En 2011, Dick Craddock discute des vols d'identité sur Hotmail : http://windowsteamblog.com/windows_live/b/windowslive/archive/2011/07/14/hey-my-friend-s-account-was-hacked.aspx

La question de l'utilité

Nous avons développé l'habitude des mots de passe, mais cette approche est-elle encore utile?

• Une réflexion générale de Gene Spafford, en 2006, sur ce sujet : http://www.cerias.purdue.edu/site/blog/post/password-change-myths/ (une suite est disponible sur http://www.cerias.purdue.edu/site/blog/post/passwords-and-myth/)
• En 2005, Michael Schrage exprimait l'opinion que les mots de passe devraient être remplacés par une surveillance automatisée de comportements déviants : http://www.technologyreview.com/web/14256/
• Une étude publiée en 2011 montre que la plupart des gens ont précisément trois mots de passe. Quelle mauvaise pratique! http://www.pcmag.com/article2/0,2817,2386533,00.asp
• Qu'est-ce qui est pire encore que de réutiliser un mot de passe, selon Markus Jakobsson en 2008? http://www.itworld.com/tech-society/54193/beware-meta-password-reuse
• Le New York Times, en 2008, a des réserves sur le concept-même de mot de passe : http://www.nytimes.com/2008/08/10/technology/10digi.html?_r=1&sq=password&st=cse&adxnnl=1&oref=slogin&scp=1&adxnnlx=1218409712-/hx7E0lHtPWuK/H71b9zxw
• Devrait-on simplement déléguer cette responsabilité à nos outils? Une opinion de Jeff Atwood en 2011 : http://www.codinghorror.com/blog/2011/09/cutting-the-gordian-knot-of-web-identity.html
• Une position tranchée de Alex Munroe en 2011 : http://me.veekun.com/blog/2011/12/04/fuck-passwords/
• Une image vaut mille mots, dit-on. Un cartoon éditorial par Doug Savage en 2012 : http://www.savagechickens.com/2012/01/insufficient.html
• avons-nous vraiment besoin d'un mot de passe dont nous ne nous souviendrons pas? Un texte de Robert McMillan en 2012 : http://www.wired.com/wiredenterprise/2012/01/simple-pw/all/1
• Quelques observations émises par Steven J. Murdoch en 2012 suite à l'analyse des fruits de deux semaines d'attaque (par force brute) pour découvrir des mots de passe sur un système sécurisé : http://www.lightbluetouchpaper.org/2012/01/25/observations-from-two-weeks-of-ssh-brute-force-attacks/
• En 2012, Ben Brown prêche pour une approche au login sans mot de passe, privilégiant les envois à un courriel sécurisé d'URL de connexion temporaires : http://notes.xoxco.com/post/27999787765/is-it-time-for-password-less-login
• En 2013, Heather Adkins déclare que les mots de passe constituent une pratique « morte » : http://news.cnet.com/8301-1009_3-57602286-83/google-security-exec-passwords-are-dead/
• À quel point est-il facile de briser des mots de passe? Texte de Bruce Schneier en 2013 : https://www.schneier.com/blog/archives/2013/06/a_really_good_a.html
• Dans ce texte de 2014, Martyn Williams explique comment DARPA souhaite faire disparaître les mots de passe : http://www.itworld.com/security/430883/seven-ways-darpa-trying-kill-password
• En 2014, George Ornbo exprime l'opinion que le mot de passe demeure une sorte d'antipatttern : http://shapeshed.com/passwords-are-still-an-anti-pattern/
• En 2015, Yahoo Mail commence à remplacer les mots de passe par d'autres mécanismes, comme l'explique Matt O'Brien : http://www.mercurynews.com/business/ci_28974064/yahoos-updated-email-app-aims-kill

Les outils

À propos des Rainbow Tables, des tables précalculées

• Un Wiki sur le sujet : http://en.wikipedia.org/wiki/Rainbow_table
• À propos de l'arrivée de cette technique dans l'oeil du public : http://redmondmag.com/articles/2004/07/01/rainbow-cracknot-a-new-street-drug.aspx
• Une opinion de Jeff Atwood, en 2007, sur le sujet : http://www.codinghorror.com/blog/2007/09/rainbow-hash-cracking.html
• http://www.smh.com.au/news/security/code-cracking-is-the-new-pot-of-gold/2006/09/18/1158431640596.html
• En 2012, Jeff Atwood se prononce à nouveau – les Rainbow Tables sont devenues inutiles grâces aux avancées du côté de la puissance de traitement des GPU : http://www.codinghorror.com/blog/2012/04/speed-hashing.html
• En 2012, Tory Hunt nous explique que bien que « saler » les mots de passe une fois ceux-ci entreposés a pu aider à contrecarrer le recours aux Rainbow Tables, un nouvel ennemi, la Loi de Moore, a rendu même cette pratique à peu près inutile : http://www.troyhunt.com/2012/06/our-password-hashing-has-no-clothes.html

Quelques outils associés aux mots de passe :

• L'outil Ophcrack, pour briser des mots de passe à l'aide de Rainbow Tables : http://en.wikipedia.org/wiki/Ophcrack
• Divers outils de découverte de mots de passe (et de sécurisation au sens large) : http://www.oxid.it/projects.html
• Le Internet Password Breaker, en 2010, qui brise les mots de passe de plusieurs outils Microsoft : http://www.securityweek.com/new-tool-reveals-internet-passwords
• L'outil Passweird, pour génrer des mots de passe grossiers (je ne l'utiliserais pas, personnellement) : http://www.passweird.com/

Outils plus généraux :

• Un texte de 2004 montrant comment utiliser Google pour trouver des mots de passe : http://www.securityfocus.com/columnists/224
• L'outil Chroma-Hash, qui présente la qualité d'un mot de passe sous forme de codes de couleurs alors que l'usager les tape : http://foxxtrot.github.com/Chroma-Hash/
• Un mot de passe basé sur la pensée, sur la base de travaux de 2006 : http://www.wired.com/science/discoveries/news/2006/04/70726
• Un mot de passe basé sur la calligraphie, sur la base de travaux de 2007 : http://www.newlaunches.com/archives/dynahand_new_age_handwritten_passwords.php
• En 2007, Microsoft envisageait des mots de passe basés sur des taches d'encre : http://www.informationweek.com/news/204701162
• Un outil proposant de générer des mots de passe à partir d'une grille... papier, plutôt qu'à l'aide d'un outil électronique : https://www.grc.com/offthegrid.htm

Les approches par signature unique

Dans le but de réduire le nombre de signatures distinctes (et de mots de passe, et de...), il existe quelques technologies proposant une signature unique pour plusieurs sites. Parmi celles-ci, on trouve entre autres :

• L'approche Passport de Microsoft : http://passport.net/
• L'approche OpenID, utilisé par plusieurs vendeurs distincts (et pas les plus petits) : http://openid.net/
• L'approche Persona, mise de l'avant par Mozilla :
  • https://developer.mozilla.org/en-US/docs/Persona
  • cette approche repose sur un projet antérieur, nommé BrowserID : http://identity.mozilla.com/post/7616727542/introducing-browserid-a-better-way-to-sign-in
  • selon David Somers en 2012, Mozilla a la bonne approche dans ce dossier : http://labs.newsint.co.uk/blog/2012/10/why-mozilla-persona-is-the-right-answer-to-the-question-of-identity/
  • un guide pour l'authentification avec Persona, par Bozhidar Bozhanov en 2012 : http://techblog.bozho.net/?p=1056
  • entrevue avec certains de ses concepteurs, en 2013 : https://blog.mozilla.org/beyond-the-code/2013/04/09/persona-beta2/
  • utiliser cette approche comme passerelle vers d'autres approches, texte de 2013 par Ted Samson : http://www.infoworld.com/t/identity-management/mozilla-persona-privacy-protections-trump-facebook-in-single-sign-216084
  • explication de ce modèle, par Mathias Biilmann en 2013 : http://www.webpop.com/blog/2013/06/19/persona-say-goodbye-to-passwords
• Adapter ces pratiques pour tenir compte de la mobilité, un texte de Greg Curtis en 2013 : http://tech.blog.box.com/2013/03/rethinking-mobile-sso/
• L'authentification OAuth pour http :
  • http://oauth.net/
  • selon John Sheehan en 2013, pour implémenter ce standard, mieux vaut en suivre les spécifications à la lettre et ne pas jouer au plus malin : http://apiux.com/2013/03/21/authentication-dont-be-clever/
  • quelques mythes à propos du Social Login, par Elie Chevignard en 2014 : https://medium.com/about-oauth/7-social-login-myths-debunked-8a8115108e9c

Évidemment, si vous êtes partisane ou partisan d'une telle approche, assurez-vous d'avoir confiance aux gens et aux entreprises qui se porteront garantes de votre identité. C'est leur conférer beaucoup de pouvoir sur votre vie!

Les pratiques

Quelques mots sur des pratiques générales en lien avec les mots de passe et leur gestion.

• En 2009, Jakob Nielsen plaide pour que l'on cesse de masquer les mots de passe alors que les usagers les entrent : http://www.useit.com/alertbox/passwords.html
• Texte de 2010 par Jeff Atwood sur les pratiques malsaines en lien avec les mots de passe sur le Web : http://www.codinghorror.com/blog/2010/12/the-dirty-truth-about-web-passwords.html
• Certaines entreprises ont des pratiques malsaines quant aux mots de passe, même si nous choisissons ces mots avec soin. À titre d'exemple :
  • cet article sur les pratiques en vigueur chez AOL en 2007 : http://blog.washingtonpost.com/securityfix/2007/05/aols_password_puzzler.html
  • cet article sur les pratiques en vigueur chez American Express en 2010 : http://www.pcmag.com/article2/0,2817,2358985,00.asp
  • même Visa, en 2011, force ses usagers à choisir des mots de passe de piètre qualité : http://blog.zorinaq.com/?e=54
• Selon Mike Algan en 2011, Apple et Google tueront le mot de passe : http://www.computerworld.com/s/article/9206998/How_Apple_and_Google_will_kill_the_password_
• Selon Seth Fogie, en 2011, certains risques sont intrinsèques aux réseaux sans fils : http://www.informit.com/guides/content.aspx?g=security&seqNum=158
• Comment entreposer un mot de passe?
  • http://codahale.com/how-to-safely-store-a-password/
  • pas dans une base de données, de l'avis de Tom Moertel en 2006 : http://blog.moertel.com/articles/2006/12/15/never-store-passwords-in-a-database
  • quoi faire et ne pas faire lors de l'entreposage de mots de passe, article de Jeremiah Orr en 2012 : http://java.dzone.com/articles/secure-password-storage-lots
  • comment bien saler un mot de passe? Une série de conseils quant à ce qui devrait – ou ne devrait pas – être fait : http://crackstation.net/hashing-security.htm
  • pour dissimuler le « bon » sel, mieux vaut le noyer dans beaucoup d'autre sel, selon Jeremy Spilman en 2012 :
    • http://www.opine.me/a-better-way-to-store-password-hashes/
    • http://www.opine.me/all-your-hashes-arent-belong-to-us/
  • si on met des mots de passe dans une base de données, alors mieux vaut le faire correctement. Texte de 2014 : http://blog.mist.io/post/75060934180/storing-user-passwords-safely-in-the-database
  • dans ce texte de 2015, Jeff Jarmoc indique que saler les mots de passe a ses limites, et que la meilleure pratique est... d'être lent à répondre : http://chargen.matasano.com/chargen/2015/3/26/enough-with-the-salts-updates-on-secure-password-schemes.html
  • cinq trucs pour entreposer les mots de passe de manière sécuritaire, par Jerry Orr en 2015 : http://blog.jerryorr.com/2015/04/5-simple-rules-for-securely-storing.html
  • historique des pratiques en matière d'entreposage des mots de passe, par Rick Hayes en 2015 : https://www.trustedsec.com/may-2015/passwordstorage/
• Comment mal gérer les mots de passe oubliés dans une application Web, par Jeffrey Paul en 2011 : http://sneak.datavibe.net/20110614/please-dont-do-this/
• À propos de l'entreposage sécuritaire des mots de passe :
  • un texte de Patrick Mylund Nielsen en 2012 : http://throwingfire.com/storing-passwords-securely/
  • entrevue de Briand Krebs avec Thomas H. Ptacek en 2012 : http://krebsonsecurity.com/2012/06/how-companies-can-beef-up-password-security/
• Protéger un secret partagé, comme un mot de passe, en fonction de divers types d'attaques. Texte de Daniel Turner en 2012 : http://coderinaworldofcode.blogspot.co.uk/2012/11/shared-secret-authentication.html
• Que faire lorsque le mécanisme de gestion de mots de passe est brisé? En 2013, Name.com choisit de réinitialiser tous les mots de passe sous sa gouverne. Un article d'Emil Protalinski : http://thenextweb.com/insider/2013/05/08/name-com-discovers-security-breach-says-emails-and-credit-card-info-may-have-been-accessed/
• Comment « saler » un mot de passe :
  • texte de 2013 : https://crackstation.net/hashing-security.htm
  • proposition de Taylor Hornbie et d'un autre individu non-identifié en 2014, un texte du Code Project : http://www.codeproject.com/Articles/704865/Salted-Password-Hashing-Doing-it-Right
• En 2015, 1password change de format pour l'entreposage des mots de passe dans le but de raffermir sa sécurité. Article de Mariella Moon : http://www.engadget.com/2015/10/20/1password-format-switch/
• Comment John-Paul Bader a retrouvé un mot de passe oublié, texte de 2016 : http://smyck.net/2016/08/11/how-to-recover-a-forgotten-password/

Approches novatrices

Les mots de passe traditionnels ne sont peut-être pas éternels, et certains expérimentent avec des variantes, biométriques ou autres.

Sous Windows 8, un système d'exploitation qui se destine en particulier aux tablettes, une pratique possible est de toucher une photo à divers endroits dans une séquence précise. Certains critiquent cette approche, dont Tim Greene en 2011 : http://www.networkworld.com/news/2011/122211-windows8-authentication-254372.html?hpg1=bn

Google oeuvre sur un générateur de mots de passe qui serait convenable pour la plupart des sites et qui éviterait aux utilisatrices et aux utilisateurs de Chrome d'inventer eux-mêmes des mots de passe qui pourraient être de moindre qualité :

• Texte de 2012 par Dennis Fisher en faisant état : https://threatpost.com/en_us/blogs/google-password-generator-works-021712
• Détails techniques : https://sites.google.com/a/chromium.org/dev/developers/design-documents/password-generation

Un login sans mot de passe?

• Réflexion de Ben Browns sur le sujet, en 2012 : http://notes.xoxco.com/post/27999787765/is-it-time-for-password-less-login
• Proposition de Hans Petter Eikemo en 2012 : http://openideas.ideon.co/2012/logins-without-logins
• Fonctionner strictement par courriel : https://nopassword.alexsmolen.com/

Identification par la pensée (par les ondes cervicales, à tout le moins)?

• C'est un domaine de recherche qui semble montrer des résultats, si on se fie à cet article de Brian Prince en 2013 : http://www.darkreading.com/security/client-security/240152827/researchers-analyze-brainwaves-to-authenticate-users.html
• Article décrivant cette technique, par John Chuang, Hamilton Nguyen, Charles Wang et Benjamin Johnson en 2013 : http://people.ischool.berkeley.edu/~chuang/pubs/usec13.pdf

Un login avec confirmation (optionnelle) par un autre média?

• L'approche mise de l'avant par Twitter, par Jim O'Leary en 2013 : https://blog.twitter.com/2013/getting-started-login-verification
• La technologie Google Authenticator, décrite en 2014 : http://garbagecollected.org/2014/09/14/how-google-authenticator-works/
• S'authentifier avec des jetons JSON, texte de 2014 par José Padilla : http://jpadilla.com/post/73791304724/auth-with-json-web-tokens

Identification par images :

• Une attaque pour briser cette approche, selon « Ms. Smith » en 2013 : http://www.networkworld.com/community/blog/researchers-develop-attack-framework-cracking-windows-8-picture-passwords

Un login strictement basé courriel, proposé en 2016 par Luke Plant : http://lukeplant.me.uk/blog/posts/a-simple-passwordless-email-only-login-system/