Authentification sans mot de passe : Le bouton facile vers un monde sans mot de passe ?
Partie 1/2 de l’article
Inscrivez vous ci-dessous pour recevoir notre Newsletter chaque semaine :
L’authentification sans mot de passe est un objectif du Saint-Graal qui semble toujours hors de portée. Pourquoi sans mot de passe ? Eh bien, l’élément humain est la cause première de la plupart des violations de données, 82 % provenant de mots de passe volés, de phishing, d’utilisations abusives et d’erreurs. N’oublions pas que les utilisateurs détestent carrément les mots de passe. Ils nous ralentissent, en particulier sur les petits appareils où il est facile de mal saisir les mots de passe. Débarrassez-vous des mots de passe et voilà, le nombre de violations est considérablement réduit et les utilisateurs sont plus heureux !
Alors, quel est le hold-up ? Eh bien, plusieurs communautés ont eu des mesures de succès variables, mais pour être efficace, l’authentification sans mot de passe doit être omniprésente. Entièrement de bout en bout.
Continuez à lire pour en savoir plus sur le fonctionnement de l’authentification sans mot de passe, l’expérience utilisateur, les avantages de la sécurité numérique et les considérations importantes pour les entreprises afin de créer un avenir sécurisé sans mot de passe
Qu'est-ce que l'authentification sans mot de passe ?
L’authentification sans mot de passe, parfois appelée simplement « sans mot de passe », est l’authentification de l’identité de l’utilisateur sans mot de passe, qui présente une identité d’utilisateur sans exiger d’informations d’identification saisies. Une touche et vous êtes dedans.
Au lieu d’un mot de passe, nous utilisons des facteurs de possession tels que des mots de passe à usage unique, des appareils mobiles et des jetons matériels combinés à des facteurs biométriques uniques pour valider l’authenticité d’une personne. Une fois validé, l’utilisateur peut alors déverrouiller et activer l’utilisation des facteurs de possession, protégeant ainsi la confidentialité de la biométrie. Avec des normes et des protocoles comme passkey et FIDO2 (nous en reparlerons plus tard).
Le mot de passe peut être présenté comme un placage, masquant l’utilisation continue des mots de passe sous les couvertures.
Par exemple, si j’étais un développeur de logiciels et que mon application n’est pas configurée pour le sans mot de passe, je ne voudrais pas encourir le coût du recodage de l’application. Au lieu de cela, je pourrais superposer un mécanisme sans mot de passe qui invite un utilisateur à entrer son identifiant et un deuxième facteur tel qu’une empreinte digitale. Le mot de passe est ensuite injecté dans les coulisses. Avec le mot de passe toujours en jeu, l’utilisateur est trompé en pensant que le processus est sans mot de passe.
Comparez cela au processus de connexion traditionnel où un utilisateur doit présenter un identifiant (généralement un nom d’utilisateur) et un vérificateur (tel qu’un mot de passe, une phrase secrète, un code PIN, des informations d’identification, une clé, un certificat ou un autre type de secret). L’identifiant confirme l’identité de l’utilisateur et détermine quel vérificateur est nécessaire pour s’authentifier et fournir le niveau d’autorisations d’accès.
Avec l’authentification sans mot de passe, les secrets sont toujours échangés pour vérifier les autorisations et le niveau d’accès de l’utilisateur – ils sont simplement échangés dans les coulisses. Les secrets peuvent être permanents ou temporaires, selon votre niveau de risque et vos objectifs de sécurité.
Authentification sans mot de passe : Saisies des clés d'accès
Comme indiqué ci-dessus, il existe des informations d’identification qui améliorent l’expérience utilisateur et offrent une meilleure assurance pour les utilisateurs à haut risque et les services critiques.
Les informations d’identification FIDO en sont l’exemple le plus notable. Ils peuvent être utilisés dans un logiciel (par exemple, un Trusted Platform Module dans un ordinateur portable) ou avec un jeton matériel itinérant (par exemple, une YubiKey). Ils améliorent la sécurité en représentant un autre facteur – quelque chose que vous avez – et en résistant au phishing.
Au départ, les jetons FIDO augmentaient l’utilisation d’un mot de passe avec des facteurs supplémentaires. Plus récemment, l’alliance FIDO s’est associée à Big Tech (Apple, Google et Microsoft) autour d’une nouvelle norme de clé de sécurité . Comme le décrit le site Web passkeys.io , un mot de passe est une nouvelle façon de se connecter qui fonctionne complètement sans mot de passe. Au lieu d’augmenter un mot de passe, il remplace entièrement le mot de passe. Les clés de passe s’appuient sur les normes FIDO existantes, ajoutant une expérience utilisateur et des avantages en matière de sécurité numérique.
En supprimant les mots de passe de l'équation, la vie est simplifiée pour les fournisseurs et les utilisateurs.
Les utilisateurs peuvent accéder à leur clé d’accès à partir de tous leurs appareils en utilisant une méthode qu’ils utilisent tous les jours : la vérification de leur empreinte digitale, de leur visage ou du code PIN de l’appareil. Il n’est pas nécessaire d’enregistrer un nouvel identifiant FIDO sur chaque nouvel appareil. Les fournisseurs de services peuvent prendre en charge l’authentification par clé d’authentification sans avoir besoin de mots de passe, comme méthode alternative de connexion ou de récupération de compte. La gestion de la clé privée peut être spécifique à l’écosystème ; par exemple, Apple utilisant son iCloud et Keychain pour répliquer.
De plus, les clés de passe ont été combinées avec des technologies de remplissage automatique pour simplifier le processus de connexion pour les utilisateurs afin que l’identité de l’utilisateur soit automatiquement renseignée lors de l’accès à une application Web qui a été précédemment enregistrée pour une connexion basée sur la clé de passe. Cela se traduit par une expérience «sans saisie» pour l’utilisateur une fois qu’il a effectué la vérification biométrique.
Des entreprises comme eBay, PayPal, BestBuy et Kayak ont promis d’offrir une alternative de clé d’accès pour la connexion, et les membres fondateurs de Big Tech ont tous mis à jour leurs systèmes et applications pour le prendre en charge. Ce niveau de support nous rapprochera d’un véritable monde sans mot de passe de bout en bout.
Sans mot de passe pour l'entreprise
Les clés de sécurité ou quelque chose de similaire deviendront-elles de facto ?
Faire des clés de passe, la norme exigera que chaque fournisseur de services mette à jour son authentification existante basée sur un mot de passe. Nous pouvons nous attendre à ce que l’adoption sans mot de passe passe du cloud aux applications et systèmes hérités. De nombreuses applications SaaS prennent déjà en charge les normes et protocoles modernes tels que OpenID Connect, SAML et OAuth2 pour l’authentification fédérée à partir d’un fournisseur d’identité de confiance, ainsi que l’authentification multifacteur (MFA), de sorte que l’ascenseur devrait être plus facile.
Toute application Web qui prend actuellement en charge FIDO2 devrait pouvoir tirer parti de la technologie de clé de passe compte tenu de l’interopérabilité. Par exemple, les services d’identité au sein de la plate-forme Delinea prennent en charge l’authentification utilisateur sans mot de passe FIDO2 et basée sur un mot de passe. Cependant, les sites Web qui n’ont pas encore ajouté la prise en charge de FIDO2 devront être modifiés pour prendre en charge les clés de sécurité.
Nous avons donc clairement la technologie pour l'authentification sans mot de passe et les clés d'accès, mais les entreprises font-elles le changement ?
Selon Forrester Research, de plus en plus d’entreprises adoptent l’authentification sans mot de passe. Un sondage récent a révélé qu’environ la moitié expérimentent la connexion sans mot de passe. La plupart sont des projets pilotes, des programmes de preuve de concept et de petits déploiements avec des groupes d’utilisateurs spécifiques. Des enquêtes menées par des fournisseurs tels que Ping Identity et Yubico font état d’un énorme désir informatique d’adopter l’authentification sans mot de passe. Alors, les dominos tombent.
Les clés d’accès sont idéales pour la connexion sans mot de passe aux ordinateurs portables et aux applications Web, mais les organisations doivent réfléchir à la manière d’étendre le sans mot de passe aux serveurs et aux applications professionnelles. Les entreprises ont des besoins de sécurité avancés et exigent un niveau de gestion de l’authentification plus strict.
Les organisations exigeront également un niveau d’assurance plus élevé que l’utilisateur qui s’authentifie avec le mot de passe est celui pour qui il a été créé. Une solution moderne de gestion des accès privilégiés (PAM) pour la protection des serveurs, telle que Delinea Cloud Suite, prend en charge la connexion sans mot de passe et la MFA.
L’absence de mot de passe combinée à des informations d’identification solides peut satisfaire presque tous les scénarios, facilitant la vie de l’utilisateur (tactile biométrique ou reconnaissance faciale pour y accéder) et améliorant la sécurité numérique des entreprises.
Plusieurs utilisations du déverrouillage biométrique :
- Déverrouillage biométrique pour une authentification mutuelle forte basée sur la cryptographie aux ressources pour plus d’ubiquité et de facilité d’utilisation (par exemple, FIDO2 ou des clés de passe plus des protocoles de connexion fédérés comme SAML, OAuth et OpenID Connect.)
- Déverrouillage biométrique pour l’authentification basée sur la cryptographie aux ressources où une authentification mutuelle forte est impossible (par exemple, les certificats SSH.)
- Déverrouillage biométrique pour accéder à un secret partagé comme solution de secours. C’est-à-dire un mot de passe ou une clé SSH sous les couvertures où un coffre-fort secret ou un portefeuille de mots de passe sous-jacent injecte automatiquement le mot de passe, applique une qualité de service élevée et fait pivoter automatiquement le mot de passe.
Source : Delinea
Inscrivez vous ci-dessous pour recevoir notre Newsletter chaque semaine :