L’avenir du mot de passe est un sujet qui préoccupe Google. A Mountain View, une vingtaine de personnes travaillent sur cette question au siège de la firme. 20 Minutes s’est entretenu avec Mayank Upadhyay, directeur de l'ingénierie en sécurité chez Google.
密码的未来是谷歌所担忧的事情。在山景城(位于美国加利福尼亚州, 硅谷的主要组成部分),Google总部里大概有20几个人在处理这个问题。20 Minutes 与谷歌安全工程师Mayank Upadhyay进行了一次访谈。

De très nombreux sites ont été piratés l’an dernier. La fin des mots de passe, de plus en plus vulnérables, est-elle proche?
去年有许多网站都被黑客入侵,越来越容易被攻击的密码是否已经快到尽头了?

Tous ces piratages de comptes nous ont poussés à travailler sur une nouvelle génération de mots de passe. Mais les mots de passe ne vont pas mourir. Je pense que c’est leur nature et la façon de les utiliser qui vont changer. Par exemple, ceux qui utilisent des téléphones Android n’ont qu’à le déverrouiller en dessinant un schéma sur l’écran pour avoir accès à leurs données. Ca, c’est un nouveau type de mot de passe. En 2011, on a aussi mis en place un système de double authentification: Gmail vous envoie un code par SMS avec un mot de passe supplémentaire pour pouvoir vous connecter à votre compte. Mais c’est un vrai défi d’inciter les internautes à le faire. Certains se demandent: «Que se passera-t-il si je perds mon téléphone?». Il y a pourtant des plans B. Comme donner le numéro de votre conjoint.
所有这些被黑的账户使我们更加致力于开发新的密码时代。但是密码不会消失。我觉得是它们的状态和使用方式将会发生改变。比如说,那些使用安卓系统的手机用户只能通过在屏幕上画图解锁才能获得资料。这是一种新型的密码。在2011年,我们同样实施了一个双认证系统。Gmail 会通过短信给你发送一个密码,有了这个外加的密码你才可以登录到你的账号上。但是鼓动网民干这事真是一个挑战。有些人会想《如果我手机丢了会发生什么事?》。这时有计划B。就是提供你亲属的号码。

Vous êtes quand même en train d’expérimenter un système qui va encore plus loin…
但你们还是在试验一个可以使用的更长久的系统...

Nous avons rejoint l’alliance Fido, aux côtés d’autres firmes comme PayPal. On travaille sur des solutions qui permettent de s’authentifier grâce à une clé unique, contenant les données nécessaires. Nous testons en interne des clés USB. Il suffit d’avoir un navigateur compatible et de la brancher pour s’identifier.
我们已经加入了l’alliance Fido(密码安全认证联盟),其他公司比如PayPal也加入了这个联盟。我们努力想出一些解决方法,可以通过一个拥有必要资料的唯一的钥匙来进行认证。我们已在内部测试USB钥匙。只要能兼容的浏览器跟一个连接口就可以进行认证。

Cela veut dire qu’il suffit d’avoir cette clé USB pour pouvoir se connecter à Gmail?
这是不是表明只要有USB钥匙就可以登录到Gmail?

Oui. Mais on va l’utiliser en plus de votre mot de passe, par sécurité en cas de perte. C’est plus simple que de taper un code qu’il faut attendre de recevoir sur son smartphone. C’est plus sécurisé aussi, car quelqu’un peut intercepter ce code, mais pas la clé. Si quelqu’un retrouve votre mot de passe, il ne pourra pas se connecter à votre compte sans cette clé USB. Et si vous l’oubliez quelque part, la personne qui la retrouvera ne saura pas à qui elle appartient.
是的。但考虑到钥匙丢了的情况下,安全起见,我们还是需要你的密码。这比输入手机上接收的短信密码要简单一点。而且也比较安全,因为有人可以拦截住这个短信密码,但他不能拦截你的钥匙。如果有人知道了你的密码,没有USB钥匙,他还是不能登录你的账户。如果你把它忘在某个地方了,找到这个钥匙的人也不会知道这个钥匙是属于谁的。

Quand est-ce que les utilisateurs pourront utiliser ce type de clé pour se connecter?
用户要到什么时候才能使用到这种钥匙?

Nous allons inviter quelques personnes à faire des tests d’ici la fin de l’année. On doit se montrer prudent, savoir quoi faire si quelqu’un perd sa clé. Et on veut voir si c’est un système qui plaît. Pour beaucoup de gens la sécurité informatique est quelque chose d’intangible. Si vous leur mettez quelque chose entre les mains en disant «voilà comment t’identifier» comme avec une clé de maison, je pense qu’ils vont avoir le sentiment d’avoir plus de contrôle.
从现在起到年末我们会请人来做测试。我们要谨慎一点,要知道在钥匙丢了的情况下应该怎么做。而且我们也想知道这个系统能不能被人接受。对很多人来说信息安全是无形的。如果你把某样东西放在他们手上并告诉他们说《这就是你拿来认证的东西》,就如同家里的钥匙一样,他们应该会感觉到多一点的掌控权。

Cette clé USB fonctionnera seulement pour les services de Google?
USB钥匙只能在Google上使用吗?

Avec l’alliance Fido, on travaille de sorte qu’elle puisse être utilisée pour plusieurs sites. Vous pourrez l’utiliser pour votre banque, Google, Facebook, Amazon, etc. Si vous l’utilisez pour vous identifier sur deux sites différents, ils ne sauront pas qu’il s’agit de la même personne pour préserver la confidentialité des utilisateurs.
我们与l’alliance Fido合作研究让USB钥匙可以用于几个网站。你可以使用钥匙登录你的银行账户,Google,Facebook,Amazon等。如果你在两个不同的网站上认证,它们无法识别是否是同一个人来进行用户隐私保密。

Comment expliquez-vous l’explosion du piratage dans le monde en 2012?
您怎么解释2012年黑客入侵系统全面爆发?

Ces dernières années, les gens se sont créés beaucoup de comptes sur beaucoup de sites… En moyenne, une personne en possède vingt! Certains utilisent le même mot de passe pour tous ces services. Il y a des petits sites plus vulnérables que d’autres qui vont céder plus facilement. C’est comme ça qu’un mot de passe peut être volé et conduire au piratage d’autres de vos comptes.
最近这几年,人们在不同的网站上建立了很多的账户...平均每个人有20个!有些人还都使用同一个密码。有一些比较小的网站更容易受到攻击,因此一个密码被偷了之后就导致你其它账户也被入侵了。

Avez-vous des conseils à donner aux internautes?
您对网友有什么建议吗?

N’utilisez pas votre mot de passe Gmail pour d’autres sites. Plein de gens disent «qui peut bien vouloir lire mes e-mails?». Mais c’est important. Par exemple, vous pouvez recevoir des messages de votre banque. De nos jours, plus de 99% des spams sont détectés par votre boîte mail. Des hackers peuvent alors vouloir se faire passer pour vous pour envoyer des e-mails à vos amis et leur demander de l’argent. Autre conseil: activez la double authentification. Elle rend le piratage plus difficile.
不要把在Gmail上的密码用于其它网站。很多人会说《谁会想看我的邮件?》。但这很重要。比如你会收到你银行所发的信息。现在,超过99%的垃圾邮件会被你的邮箱所监测到。因此那些黑客会通过你的邮箱给你的朋友们发送邮件跟他们要钱。其它的建议就是:实施双认证。这样黑客入侵系统就会更加困难了。

声明:双语文章中,中文翻译仅代表译者个人观点,仅供参考。如有不妥之处,欢迎指正。