L'option devrait assurer une protection supplémentaire contre le phishing et les attaques de logiciels malveillants, a déclaré Eran Feigenbaum, directeur de la sécurité de Google Apps. L'authentification en deux étapes repose généralement sur un élément que l'utilisateur connaît, comme son mot de passe et quelque chose qu'il détient, comme une carte à puce ou dans le cas de Google - un numéro téléphone mobile.

Microsoft propose depuis le mois de mai dernier, un service similaire de double authentification en utilisant des SMS.  De son côté, Google enverra aussi le code d'authentification par SMS ou un via un message vocal. Le service SMS sera gratuit et disponible dans 19 pays dont l'Australie, le Danemark, la France, l'Allemagne, les Pays-Bas, la Suède, le Royaume-Uni et les États-Unis. Les codes d'authentification peuvent également être générés localement en utilisant une application smartphone appelé Google Authenticator, disponible en téléchargement gratuit sur le Android MarketPlace, Blackberry ou iPhone App Store. L'éditeur de Moutain View a publié le code source de cette application afin que les entreprises puissent modifier l'interface utilisateur et intégrer leur propre marque. Toutefois, Google ne distribuera pas l'algorithme qui génère le code, explique Eran Feigenbaum. Le processus d'authentification repose sur un standard ouvert appelé OATH  pour les terminaux mobiles- à ne pas confondre avec OAuth, un autre protocole d'authentification ouvert, destiné principalement aux applications Web. Les partisans d'OATH comprennent VeriSign, Sandisk et un certain nombre de fabricants de cartes à puce.

Cette fonction sera disponible pour les administrateurs de la version éducation et gouvernement de Google Apps. Les utilisateurs de l'édition Standard et des services grand public tels que Google Docs et Gmail y auront accès « dans les prochains mois », a déclaré Feigenbaum, tout en refusant de dire si elle sera activée avant la fin de l'année.

Une reconnaissance automatique possible

Une fois que l'administrateur a activé la fonction, les utilisateurs de Google Apps doivent fournir leur numéro de téléphone mobile pour l'option SMS ou installer l'application et la configurer en entrant un mot de passe.  Après cela, chaque fois que les utilisateurs se connecteront,  ils verront une zone de texte supplémentaire les invitant à entrer un code à six chiffres. Pour obtenir ce code, ils peuvent soit en demander un via SMS à partir de la page de connexion ou cliquez sur un bouton dans l'application pour en générer un nouveau. Les utilisateurs qui travaillent fréquemment à partir du même ordinateur, celui de la maison, par exemple - peuvent choisir de la fonction «souviens-toi des vérifications pour cet ordinateur. » Un cookie sera alors placé sur le PC pour indiquer aux serveurs de Google de ne pas demander le code d'authentification. « Cela réduit la protection de la sécurité si la machine est volée », a déclaré Eran Feigenbaum, mais il ajoute « si quelqu'un a un accès physique à votre machine, vous avez des problèmes plus beaucoup plus graves ». Toutefois, pour des ordinateurs à accès public, la double authentification fournit un niveau supplémentaire de protection, car le code donné par SMS n'est valable que pour une durée de temps limitée.

Ceux qui ont différentes identités sur Google Apps pour le travail et Gmail pour leurs messages personnels pourront programmer Authenticator avec deux identités, leur permettant de générer des codes différents pour chaque compte.