Le responsable de la connexion de Google ne s’inquiète pas du nouveau bouton de connexion d’Apple.

Le responsable de la connexion de Google ne s’inquiète pas du nouveau bouton de connexion d’Apple.
4.9 (97.65%) 17 votes


La semaine dernière, Apple a bouleversé le monde des connexions en proposant une solution permettant de collecter et de partager le moins de données possible. C'était un coup délibéré contre Facebook et Google, qui exploitent actuellement les deux principaux services de SSO. Cependant, même si Google n’était pas satisfait des critiques confidentielles voilées, le responsable de la connexion de la société est étonnamment heureux de pouvoir rivaliser avec un nouveau bouton. Bien que les boutons de connexion soient relativement simples, ils sont beaucoup plus résistants aux attaques courantes telles que le phishing, ce qui les rend beaucoup plus puissants que le mot de passe moyen – à condition de faire confiance au réseau qui les propose.

En tant que Google, j’ai interrogé le directeur de la gestion des produits, Mark Risher, sur les raisons pour lesquelles le nouveau bouton d’ouverture de session d’Apple ne serait peut-être pas aussi effrayant qu’il le semble.

Cette interview a été légèrement modifiée pour plus de clarté.

Il est difficile de mettre le doigt sur les avantages de tous ces outils de connexion, mais vous avez l’impression que les choses s’améliorent? D'après mon expérience personnelle, on ne me demande pas un mot de passe presque aussi souvent qu'il y a cinq ans.

Bien, et c’est beaucoup mieux. Habituellement, avec des mots de passe, ils recommandent les majuscules, les symboles et tout le reste, ce qui, selon la majorité des habitants de la planète, est la meilleure chose à faire pour améliorer leur sécurité. Mais cela n’a en réalité aucune incidence sur le phishing, aucune répercussion sur les violations de mot de passe, aucune répercussion sur la réutilisation des mots de passe. Nous pensons qu’il est bien plus important de réduire le nombre total de mots de passe. Une fois que vous commencez à fédérer des comptes, cela signifie que vous avez peut-être encore quelques mots de passe, mais un nouveau service que vous venez d’essayer n’a pas besoin d’une équipe technique de 750 personnes dédiée à la sécurité. Il n’est pas nécessaire de créer sa propre base de données de mots de passe, puis de gérer toutes les responsabilités et tous les risques que cela comporte.

Vous manipulez également l'outil SSO de Google, qui a été concurrencé par Apple la semaine dernière à WWDC. Une partie de l'argument semble être que le système d'authentification unique d'Apple collectera moins de données et respectera davantage la confidentialité. Vous sentez-vous comme une critique juste?

Je vais prendre le blâme que nous n'avons pas vraiment articulé ce qui se passe lorsque vous appuyez sur ce bouton "Connectez-vous avec Google". Beaucoup de gens ne comprennent pas et certains concurrents l’ont traîné dans la mauvaise direction. Peut-être que vous cliquez sur ce bouton pour informer tous vos amis que vous venez de vous connecter à un site embarrassant. Il est donc vraiment bénéfique de demander à quelqu'un de revigorer l'espace et de préciser ce que cela signifie et ce qui se passe.

Mais quelques sous-entendus autour de la sortie suggèrent qu’une seule d’entre elles est pure, et les autres sont un peu corrompues, et évidemment je n’aime pas ça. Nous enregistrons exclusivement les moments d'authentification. Il n'est utilisé pour aucun type de re-ciblage. Il n’est utilisé dans aucune sorte de publicité. Ce n’est distribué nulle part. Et c’est en partie là pour le contrôle de l’utilisateur afin qu’il puisse revenir en arrière et voir ce qui s’est passé. Nous avons une page, une partie de, qui dit, "voici toutes les applications connectées, et vous pouvez aller et casser cette connexion." Ce produit actuel, je n'ai pas vu comment il sera construit, mais il semble qu'ils vont se connecter ce moment-là aussi, puis tous les courriels jamais envoyés par cette société, ce qui semble beaucoup plus envahissant. Mais nous verrons comment les détails s’arrangeront.

Honnêtement, je pense que cette technologie sera meilleure pour Internet et rendra les gens beaucoup plus sûrs. Même s’ils cliquent sur le bouton de nos concurrents lorsqu’ils se connectent à des sites, c’est toujours mieux que de taper un nom d’utilisateur et un mot de passe personnalisés, ou plus communément, un nom d’utilisateur et un mot de passe recyclés.

Le principe de base de ce type de connexion est que vous pouvez vous connecter une fois à Google (ou à Apple ou Facebook), puis étendre cette connexion à tout le reste. Mais ce modèle a-t-il encore un sens? Pourquoi ne pas avoir différents niveaux de sécurité pour différents services au lieu de mettre tous nos œufs dans le même panier?

Une partie de votre idée est que j'ai des services de haute sécurité et de basse sécurité. Mais le problème est que les choses ne restent pas dans ce seau de sécurité basse. Nous évoluons avec le temps. Lorsque je me suis inscrit pour la première fois à Facebook en 2006, je n’y avais rien d’utile. De nos jours, c’est beaucoup plus important. Et combien de personnes reviennent et se mettent à niveau? C’est assez rare. L’autre problème, c’est que nous voyons beaucoup d’attaques latérales dans lesquelles une personne ne s’attaque pas directement à votre banque, elle s’en prend à votre ami ou à votre assistant et utilise ce compte pour envoyer un message convaincant de leur part. virement électronique ou en demandant la réponse à votre question secrète, qu’ils peuvent ensuite consulter pour revenir sur le site. Donc, plus vous laissez ces comptes avec une protection lâche, plus vous y êtes exposé.

Les gens repoussent souvent le modèle fédéré en disant que nous mettons tous nos œufs dans le même panier. Cela sort de la langue, mais je pense que ce n’est pas la bonne métaphore. Une meilleure métaphore pourrait être une banque. Vous pouvez stocker vos cent dollars de deux manières: vous pouvez les répartir dans toute la maison, en plaçant un dollar dans chaque tiroir, ainsi que d’autres sous votre matelas. Vous pouvez également le placer dans une banque, qui est un panier, mais c’est un panier protégé par des portes en acier de 12 pouces d’épaisseur. Cela semble être la meilleure option!

Vous avez également rencontré des problèmes de sécurité autour de la clé de sécurité Titan l'année dernière. craignaient que toute clé fabriquée en Chine soit potentiellement vulnérable. À quel point vous inquiétez-vous des interférences de la chaîne d'approvisionnement?

Cela fait certainement partie du modèle de menace. C’est quelque chose que nous avons conçu, jusqu’au protocole. Je pense que certaines des réponses à la clé Titan étaient inutilement alarmistes, pour plusieurs raisons. La première est que ces préoccupations ont toujours fait partie de notre état d'esprit. Nous avons donc dit que nous ne ferions pas confiance aux gens, quel que soit leur pays d’origine. C’est pourquoi la puce est scellée. La puce a une attestation qui est disponible pour elle. La puce n'est pas évolutive sur le terrain. En fait, c’est la raison pour laquelle, de par notre conception, nous ne pouvons pas utiliser de code pour le modifier. Il y avait de nombreuses raisons pour lesquelles je ne pensais pas que c’était la vraie menace contre laquelle les gens devraient s’inquiéter.

Au cours des dernières années, la conception de la protection de la vie privée dans la technologie a beaucoup évolué. On ne fait plus moins confiance aux entreprises, mais également aux différentes façons dont les choses peuvent mal tourner une fois que toutes ces données sont disponibles, partagées et partagées. combinés de différentes manières. Comment avez-vous répondu à cela?

Nous avons vraiment traversé un changement de paradigme. Nous avions l'habitude de dire, ce sont vos données, nous vous laisserons simplement prendre une décision, puis ce sera à vous. Nous sommes maintenant beaucoup plus avisés parce que nos utilisateurs nous demandent de le faire. Vous pouvez voir ce manifeste dans la vérification de sécurité, qui vous donne maintenant un ensemble personnalisé de recommandations basées sur vos propres modèles. Il avait l'habitude de dire que vous avez 16 appareils différents, comme pour voir si quelque chose était suspect. Et les utilisateurs ont répondu «Non, pourquoi ne me dites-vous pas ce qui peut paraître suspect?». Nous disons maintenant: «Vous avez 16 appareils. Nous n’avons pas vu ces quatre personnes depuis 90 jours. Êtes-vous sûr de ne pas l'avoir donné à un ami et oublié de vous déconnecter ou, vous savez, de le vendre sur eBay? »Il existe un équilibre délicat: comment harceler quelqu'un au juste montant, mais aussi lui donner ce genre de niveau de protection éditorial auquel ils s'attendent?

La connexion Apple suscite cette inquiétude: même s’il s’agit d’un produit positif, elle est trop lourde pour le contraindre à l’obliger les développeurs. Vous pourriez dire la même chose à propos de nombreux projets Google dont vous parlez. Vous inquiétez-vous de ne pas trop pousser les utilisateurs?

Je m'inquiète pour ça. C’est le problème du cynisme. Le cynisme, c’est quand les gens ne font pas confiance à vos motivations. Vous dites: "Voici un produit qui vous gardera plus en sécurité", et les gens disent: "Hé, qu'est-ce que tu vas en faire?" Je pense que c'est un problème d'écosystème. Nous avons un concurrent qui collectait des numéros de téléphone en tant que défi de sécurité, mais qui les aurait également utilisés pour créer un graphique permettant de redéfinir le ciblage de la publicité. C’est mauvais pour l’ensemble de l’écosystème, car cela empêche les gens de nous faire confiance.

Nous essayons de placer la barre très haute. Et nous continuons à chercher des endroits où nous pouvons recentrer et revérifier nos meilleures pratiques et continuer à élever la barre. Mais dans une certaine mesure, c’est un problème d’écosystème. Le pire comportement sur le marché est celui que tout le monde voit. Et c’est pourquoi certaines des allusions de Apple ont été un peu gênantes, de notre point de vue. Parce que nous essayons de nous maintenir à un niveau élevé.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *