Le web après les mots de passe

Cette présentation s'adresse aux concepteurs d'applications web, afin de leur donner des pistes pour rendre leurs applications plus sûres.
Les défauts des mots de passe pour s'authentifier auprès des applications web sont bien connus: les utilisa-teurs-trices doivent choisir entre un mot de passe sûr (complexe et différent pour chaque application) ou facile à retenir (simple, utilisé sur plusieurs applications). Le résultat est un véritable casse tête dans le premier cas, ou l'usurpation d'identité pour ceux qui choisissent la facilité. L'année 2012 a vu 12 million de comptes piratés (1 toutes les 3 secondes), entraînant des vols pour un montant estimé à 26 milliards de dollars.
Pourtant des solutions existent, et nous présenterons leurs principales caractéristiques :

• Délégation de l'authentification auprès de serveurs d'identités, offrant la possibilité d'une authentification unique (Social Sign-In à travers Facebook, Google, Twitter et autres).


• Authentification forte à l'aide de multiples facteurs ou canaux de communications (PC + mobile, empreintes digitales, token OTP, cartes à puce…)

Pour illustrer concrètement la mise en oeuvre de ces techniques, nous présenterons un code simple (javascript) réalisant une délégation d'authentification à l'aide d'une solution open source (par ex. Mozilla Persona), et nous montrerons un exemple de mise oeuvre d'authentification à multiple facteurs (carte à puce et empreinte digitale) dans une application web.