Michael Schrage, co-directeur de l’initiative e-markets du Media Lab du Massachusetts Institute of Technology, rappelle pour la Technology Review, que la protection par mots de passe que nous connaissons aujourd’hui fonctionne mal et offre bien peu de sécurité aux utilisateurs. Pourtant, celle-ci est dominante, ennuyeuse et malcommode et fait bien moins pour la protection des données que pour l’accablement des utilisateurs. Et pourtant : il est impossible d’avoir accès à une multitude de services sans eux.

« Aujourd’hui, les schémas d’authentification par mot de passe sont juste un peu plus que des placebos sécuritaires », rappelle Michael Schrage. Ils renforcent la faiblesse de chaîne de la sécurité en faisant croire aux utilisateurs finaux qu’ils sont responsables des abus. Mais si effectivement on se désole souvent du niveau d’inconscience des utilisateurs, il faudrait s’interroger sur celui des entreprises « qui rendent leurs utilisateurs principalement responsables de la sécurité et de l’intégrité des systèmes complexes ». Sans compter qu’il faudrait bien souvent s’interroger sur leur utilité profonde : dans une étude récente, 70 % des personnes interrogées se disaient prêtes à révéler leur mot de passe contre une barre en chocolat.

« Alors pourquoi exiger que des millions de personnes dépensent de plus en plus de temps à mémoriser un procédé de sécurité qui apporte de moins en moins de protection ? Personne n’a besoin de mots de passe « mieux » ou « plus » bloqués : l’univers numérique a surtout besoin de se sevrer des mots de passes et des codes PIN comme moyens d’authentification. Mais nous sommes encore loin d’approches plus posées de l’authentification – « moteurs de suspicion » capables de traquer des comportements déviants par exemple – et de manières plus subtiles de gérer nos identités en ligne. »