Gestion sécurisée des mots de passe

le 02/07/2009 à 22:20
Gestion sécurisée des mots de passe
Stocker des mots de passe de manière sécurisée est un élément primordial pour la sécurité d'une application web.

Il existe différentes stratégies dont certaines assez astucieuses pour y arriver.

- A Basic Lesson in Password Hashing

A lire également

En plus d'un moteur JavaScript ultra rapide, Firefox 3.1 embarquera un nouveau système de navigation sécurisé. Depuis plusieurs années, le navigateur d'Apple, Safari possède le mode Private Browsing. Plus récemment, Google Chrome est entré dans la danse avec Incognito. Enfin, pour Internet Explorer 8, Microsoft travaille déjà sur InPrivate.

Initialement prévu pour Firefox 3.0, ce mode de navigation privée a été ajourné faute de temps. Cependant, pour le prochain opus du logiciel, attendu à la fin de l'année, les développeurs ont désormais tracé les grandes lignes à suivre. Ainsi, durant cette session de surf, l'ensemble des cookies seront stockés en mémoire puis effacés à la fermeture de l'application. Par ailleurs, les sites visités ne seront pas enregistrés dans l'historique du navigateur. En conséquence, les liens cliqués ne seront donc pas marqués d'une couleur violette. Lorsque l'utilisateur démarrera une session privée, les outils de sauvegarde des mots de passe ou de remplissage automatique des formulaires seront désactivés. Notez aussi qu'à la fermeture du navigateur, tous les téléchargements au cours de cette session seront vidés du gestionnaire et toutes les connexions privées seront désactivées.

A en croire les équipes de Mozilla, Apple, Google ou Microsoft, les navigateurs de demain seront extrêmement rapides et chacun met en avant les qualités de son moteur JavaScript. Aussi, pour nous autres utilisateurs, il devient de plus en plus difficile de déterminer lequel de ces logiciels est le plus performant. Finalement, le choix pourrait se porter sur les fonctionnalités réelles du navigateur et notamment la gestion de notre vie privée. A cet égard, Firefox 3.1 promet d'être même niveau de ses concurrents.

Vous trouverez plus de détails sur le wiki des développeurs.
Au mois de juin dernier, l'ICANN (Internet Corporation for Assigned Names and Numbers), cette organisation chargée de superviser la gestion des suffixes Internet, avait annoncé la libéralisation des noms de domaines. A ce jour, les TLD (Top Level Domain) sont peu nombreux (.com, .fr, .net...) et pour redynamiser le marché l'ICANN souhaiterait que chacun ait la possibilité d'acheter directement l'extension de son choix.

Paul Twomey, PDG de l'ICANN avait alors déclaré : "dès le premier trimestre, les 1,3 milliard d'internautes pourront acquérir des adresses génériques, en déposant des mots courants comme '.amour', '.haine' ou encore des noms propres". Ce sont donc entre 200 et 800 nouvelles extensions qui devraient voir le jour en 2009. Pourtant, si l'idée semble plutôt bonne au premier abord, le magazine Ars Technica souligne que cette initiative n'est pas sans poser plusieurs problèmes auprès des professionnels.

Visibilité et recherche

C'est véritablement la syntaxe de l'adresse Internet qui sera modifiée par ces nouvelles extensions et cela ne sera pas sans perturber l'utilisateur. Ainsi, l'internaute sait qu'une adresse de type .mobi a de fortes chances de retourner un site optimisé pour les téléphones portables ou qu'un site universitaire est caractérisé par le TLD .edu.

En admettant que le site mobile www.wap.dupont devienne très populaire l'année prochaine, de quelle manière pourrais-je m'y rendre ? Pour beaucoup, le premier réflexe serait d'entrer wap.dupont.com ou www.dupont.mobi dans la barre d'adresse du navigateur. Bien sûr, il y a ce cher moteur de recherche mais doit-on pour autant déstructurer une organisation pré-établie chez l'utilisateur ?

Cyber-squatting

La libéralisation des noms de domaine pose aussi le problème du cyber-squatting. Ainsi, les URL Clubic.net ou Clubic.fr redirigent automatiquement le visiteur vers Clubic.com. Par cette pratique, le contenu du magazine est non seulement plus accessible pour l'internaute mais il s'agit aussi d'une stratégie pour empêcher le développement de sites frauduleux ou publicitaires ciblant les lecteurs égarés.

Cependant, les choses ne seront pas aussi simples avec une extension personnalisée. Si un site Internet tel que Clubic n'aurait pas besoin d'acheter l'extension .clubic, cela resterait néanmmoins une assurance contre une potentielle utilisation frauduleuse.

De la même manière, pour éviter toute forme de cyber-squattage, les adresses newyorktimes.com et nyt.com redirigent vers nytimes.com. Cela signifie qu'à l'avenir, le journal américain pourrait devoir acquérir trois TLD différents .nyt, .nytimes et .newyorktimes.

Dans la mesure ou cette extension sera vendue à 185 000 dollars, auxquels il faudra ajouter 75 000 dollars pour une utilisation annuelle, certains pointent du doigt une hypocrisie de la part de l'ICANN qui se définit comme : "une organisation internationale publique à but non lucratif vouée à rendre l'Internet plus sécurisé, plus stable et plus interopérable".

L'ICANN est-elle en passe de dessiner un nouveau marché lucratif sur Internet ?

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours