Google présente le projet OpenSK pour aider quiconque à créer ses propres clés de sécurité pour 2FA

Si vous êtes intéressé par les derniers développements en matière de cybersécurité, vous devez être familier avec l'authentification à deux facteurs depuis un certain temps maintenant. D'un autre côté, si vous n'en avez pas encore entendu parler, vous pouvez combler cette lacune en consultant notre entrée sur cette méthode d'authentification ici .

Nous n'allons pas couvrir les aspects fondamentaux de cette méthode d'authentification dans cette description, car notre objectif est de vous en dire plus sur OpenSK de Google, et comment Google encourage le développement open source de l'authentification à deux facteurs avec des clés de sécurité. Il s'agit clairement d'un nouveau développement dans le paysage de la cybersécurité, mais pour résumer le tout en une phrase, nous pouvons dire que Google a annoncé une implémentation de clé de sécurité open source qui prend en charge les normes FIDO U2F et FIDO2. Cela ressemble un peu au grec, n'est-ce pas? Prenons un terme à la fois et voyons de quoi il s'agit alors.

Qu'est-ce que FIDO?

FIDO est une association industrielle lancée en 2013. L'objectif de l'association est de développer des normes d'authentification sur différentes plateformes. Le développement d'une méthode d'authentification est nécessaire afin de réduire la dépendance à l'égard des mots de passe. Plusieurs entreprises sont membres de l'Alliance FIDO. Certains des noms éminents incluent Google, Bank of America, Alibaba Group, Amazon, NTT DoCoMo et d'autres.

Le point de FIDO est qu'il fonctionne vraiment sur le développement d'une authentification à deux facteurs avec des clés de sécurité . L'alliance crée des protocoles de sécurité qui sont appliqués par ses membres. Ces protocoles utilisent une cryptographie à clé publique qui peut fournir une authentification plus forte.

Disons qu'une entreprise s'inscrit à un service en ligne. L'appareil de l'utilisateur créera alors une nouvelle paire de clés de sécurité. La clé privée reste avec l'appareil et la clé publique est enregistrée auprès du service en ligne. Ainsi, chaque fois que l'utilisateur s'apprête à accéder au service, son appareil prouve qu'il possède la clé privée. Il existe plusieurs façons de déverrouiller la clé privée. Selon les méthodes d'authentification que l'appareil peut offrir, l'utilisateur peut avoir besoin de glisser son doigt, d'entrer un code PIN, d'utiliser la reconnaissance vocale, d'appuyer sur un bouton ou d'insérer un périphérique d'authentification matérielle.

Google OpenSK utilise l'une de ces méthodes d'authentification - les clés de sécurité matérielles. Puisqu'il répond aux normes d'authentification FIDO, le projet open-source peut être utilisé par plusieurs sites Web. Pour faire simple, tout le monde peut utiliser le même moule pour créer ses clés uniques. Maintenant, comment Google attend-il que les gens le contournent?

Dongle nordique de Google OpenSK

Pour mettre en œuvre ce projet open source, Google a choisi un dongle à puce nordique. Qu'est-ce qu'un dongle nordique? Eh bien, un dongle est un petit matériel qui vous aide à connecter deux appareils. Par exemple, vous utilisez probablement des clés USB tous les jours pour connecter votre téléphone à votre ordinateur. Ou peut-être que vous utilisez une souris Bluetooth connectée à votre ordinateur portable via un dongle Bluetooth. Quoi qu'il en soit, les dongles ont souvent des fonctionnalités supplémentaires. Ainsi, ils peuvent facilement fonctionner comme des jetons de sécurité.

Le dongle nordique fait référence aux dongles USB développés par NORDIC Semiconductor. La raison pour laquelle Google OpenSK utilise ces appareils est que les dongles nordiques sont abordables et répondent aux critères FIDO.

Google OpenSK

Le blog officiel de Google indique qu'ils poussent cette nouvelle plate-forme open source car ils espèrent « qu'elle sera utilisée par les chercheurs, les fabricants de clés de sécurité et les passionnés pour aider à développer des fonctionnalités innovantes et accélérer l'adoption des clés de sécurité».

Comment fonctionne Google OpenSK? Le projet donne aux utilisateurs le firmware qu'ils peuvent utiliser pour développer leur propre clé de développeur. Pour cela, les utilisateurs doivent flasher le firmware OpenSK sur le dongle à puce nordique susmentionné. Si cela ne suffisait pas, Google propose également un étui imprimable en 3D personnalisé qui peut protéger le dongle et le rendre facile à transporter. Selon Google, le boîtier fonctionne sur une variété d'imprimantes 3D.

Il convient toutefois de souligner que Google OpenSK est encore principalement un projet de recherche expérimentale. Oui, il est possible de créer votre propre clé d'authentification FIDO personnelle, mais vos efforts de développement font toujours partie de tests et de recherches qui devraient aider tout le monde à améliorer les méthodes d'authentification à l'avenir.

Tout comme les dongles nordiques ont été choisis pour leur prix abordable, le langage de programmation Rust a été choisi pour le projet OpenSK car il a une forte sécurité de mémoire et ses abstractions de système d'exploitation propres le rendent moins vulnérable à diverses attaques. Le projet s'exécute sur le système d'exploitation TockOS qui est conçu pour exécuter plusieurs applications sur des microcontrôleurs à faible mémoire et faible puissance (ce qui est une clé de sécurité matérielle). En outre, Google dit que ce système d'exploitation permet de conserver séparément l'applet de clé de sécurité, les pilotes et le noyau dans le dongle. La séparation des éléments clés augmente la sécurité globale d'une clé de sécurité.

Nous nous rendons compte que pour un utilisateur régulier, créer ses propres clés de sécurité et tamponner lors de la programmation n'est peut-être pas une chose courante. Cependant, le fait que Google crée un projet open source pour quelque chose comme l'authentification à deux facteurs montre à quel point l'authentification est en général importante. En outre, cela prouve que tous ceux qui ont un intérêt dans la cybersécurité s'efforcent d'assurer un environnement plus sûr pour tous.

En outre, un projet open-source signifie que chaque développeur peut avoir une entrée dans cette quête vers une authentification sûre. Comme Google le prétend dans son article de blog, ils espèrent que « OpenSK apportera au fil du temps des fonctionnalités innovantes, une cryptographie intégrée plus solide et encouragera l'adoption généralisée de jetons fiables anti-hameçonnage et d'un site Web sans mot de passe. "

Avant tout cela, bien sûr, nous dépendons toujours fortement d'un mélange de méthodes d'authentification, y compris les mots de passe, l'authentification à deux facteurs et d'autres. Et les mots de passe sont ce maillon faible de la chaîne d'authentification que vous devez prendre au sérieux.

C'est la seule chose que vous pouvez facilement gérer vous-même. Sans oublier qu'il existe plusieurs outils comme Cyclonis Password Manager qui peuvent vous aider à créer et à stocker des mots de passe solides pour plusieurs comptes. Oubliez les jours où vous recycliez régulièrement vos mots de passe. Jusqu'à ce que des projets comme Google OpenSK aboutissent à des méthodes d'authentification sans mot de passe faciles et abordables, une attitude sérieuse et responsable envers nos mots de passe personnels est la voie à suivre.

Par Foley
April 1, 2020
Password Security
Français
April 1, 2020
Password Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 11 days

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 18 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.