Astuces pour passer avec succès à l’authentification passwordless

Les employés et les clients veulent accéder aux applications depuis n’importe quel endroit, depuis n’importe quel terminal et à tout moment. Nous sommes tellement habitués à utiliser des mots de passe pour obtenir cet accès que le fait même de suggérer de s’en passer suscite des inquiétudes, malgré tous les problèmes que posent ces mots de passe.

Les mots de passe, tels que nous les connaissons, remontent à 1961. La structure originale du mot de passe incluait quatre chiffres (pensez au code PIN), attribués aux fonctions de base des grands systèmes de type mainframe, et elle existe encore dans certaines entreprises. Nous sommes maintenant à un tournant pour les mots de passe en raison du nombre important de violations causées par leur compromission, et plus globalement de la frustration des utilisateurs liée à leur création, leur utilisation et à leur réinitialisation répétée. Si vous avez déjà eu besoin de réinitialiser en urgence un mot de passe et dû attendre le retour d’un service de support, vous comprenez ce que je veux dire. Les choses ont atteint une telle extrémité que certaines personnes utilisent leurs comptes de réseau social comme moyen d’accès à d’autres comptes et éviter de créer de nouveaux mots de passe. Malheureusement ceci ne réduit pas les risques car les utilisateurs transfèrent aux réseaux sociaux la responsabilité de la sécurisation de leurs données.

L’authentification passwordless vise à s’écarter des mots de passe lors du processus d’authentification. Si l’élimination des mots de passe est l’objectif final, pour l’instant il est plus réaliste de réduire le besoin d’avoir recours aux mots de passe. Il existe de nombreuses méthodes d’authentification plus sécurisées que les mots de passe et la transition vient juste de commencer. Par exemple, vous utilisez peut-être déjà la reconnaissance des empreintes pour vous authentifier lorsque vous débloquez votre smartphone ou lorsque vous accédez aux applis. Ces alternatives sont détaillées ci-dessous.

Le rapport d'enquête sur les compromissions de données 2021 de Verizon sa révélé que, en 2020, 61 % des violations ont été réalisées à l’aide d’identifiants de connexion non autorisés. La fatigue liée aux mots de passe conduit les gens à réutiliser le même mot de passe sur de multiples comptes plutôt que d’en créer de nouveaux, et ces mots de passe sont souvent partagés avec d’autres personnes. Lorsque des mots de passe sont créés en utilisant le nom des animaux de compagnie de la famille ou d’autres informations partagées librement sur les réseaux sociaux, les acteurs malveillants peuvent facilement les trouver. Une fois que le mot de passe a été compromis, il peut impacter plusieurs comptes, ce qui a conduit certaines organisations à demander à changer plus fréquemment de mot de passe et à augmenter leur complexité.

Lorsque nous pensons aux mots de passe compromis, nous songeons souvent aux vols de données ou d’identités qui sont coûteux et qui endommagent l’image des marques, mais nous avons également constaté que les mots de passe compromis interrompent l’activité des entreprises et donc des services et de l’infrastructure essentielle

Les identifiants volés augmentent aussi le nombre de ransomwares. La Digital Shadows Research Team a constaté que 15 milliards d’identifiants volés étaient disponibles sur le Dark Web, permettant d’usurper autant de comptes. Le phishing, les attaques par ingénierie sociale, les outils de cassage de mot de passe et d’autres méthodes encore sont également utilisés par les acteurs malveillants pour obtenir des mots de passe afin de voler des ressources, notamment d’autres mots de passe, des données, de l’argent ou pour leur demander des rançons avec des sommes importantes. En s’écartant de l’utilisation des mots de passe, nous pouvons réduire la valeur que le Dark Web leur accorde et leur poids dans la chaîne des attaques.

L’utilisation des mots de passe a réduit la productivité des employés de diverses manières. À moins de mettre en place le single sign-on (SSO) et l'authentification multifacteur (MFA), il peut être demandé aux employés de créer plusieurs comptes et de se connecter à plusieurs applis tous les jours pour faire leur travail. Pour ceux qui travaillent au service d’assistance informatique, la fréquence des demandes de réinitialisation de mot de passe venant des employés et des clients les éloignent de leurs autres responsabilités.

Les mots de passe sont aussi source de frictions et de frustration pour les clients. Comme c’est le cas avec les employés, les solutions de SSO et de MFA améliorent l’expérience utilisateur pour que les utilisateurs n’aient pas à se connecter à plusieurs applications de l’entreprise, avec des identifiants différents, comme des connexions séparées pour un compte de commerce et son compte fidélité. Même avec ces améliorations, le client doit toujours saisir son mot de passe, l’un des nombreux mots de passe qu’il doit utiliser tous les jours, et ce mot de passe est toujours sujet aux mêmes vulnérabilités.

Les mots de passe sont intégrés aux applis et aux services depuis si longtemps qu’il faudra beaucoup de temps pour s’écarter des mots de passe. Une personne moyenne a près de 200 services pour lesquels des mots de passe ou autres identifiants doivent être saisis. Aussi complexe que soit devenue la création de mots de passe (par ex. au moins 8 caractères, dont 1 majuscule, 1 minuscule, 1 chiffre et 1 caractère spécial), les mots de passe procurent encore à de nombreuses personnes un sentiment de sécurité. Ce sentiment de sécurité mal placé repose souvent sur un conditionnement après avoir passé des années à se voir demander de créer un mot de passe à chaque ouverture d’un compte.

L’habitude des mots de passe ne concerne pas seulement les utilisateurs. Les entreprises utilisent depuis longtemps les mots de passe pour la sécurité. Nous sommes passés d’une demande de combinaison nom d’utilisateur-mot de passe à des méthodes de demandes de vérification supplémentaire ; des progrès sont donc réalisés pour renforcer la sécurité. À court terme, le but est de réduire les mots de passe, pas de les supprimer totalement. La première étape est de réduire l’empreinte des mots de passe de chaque utilisateur pour qu’ils n’aient pas à créer des mots de passe supplémentaires.

Le parcours vers l’authentification passwordless inclut quatre étapes :

Commencez par centraliser votre authentification

Centraliser l’authentification avec le single sign-on et l’authentification multifacteur (MFA) adaptative fournit la structure nécessaire à l’authentification passwordless. Avec l’authentification multifacteur, les utilisateurs doivent vérifier leurs identités en utilisant deux facteurs d’authentification ou plus, tandis que l’Zauthentification à double facteur (2FA) requiert seulement deux facteurs. Les mots de passe sont souvent utilisés comme premier facteur d’authentification, mais cela n’est pas une exigence pour la MFA ou la 2FA. Microsoft a constaté que la MFA « empêche 99,9 pour-cent des attaques ciblant vos comptes ».

Les facteurs d’authentification incluent :

• Savoir = Quelque chose que vous savez (mot de passe, PIN, etc.)

• Possession = Quelque chose que vous avez (smartphone, carte à puce, etc.)

• Héritage = Quelque chose que vous êtes (empreintes digitales, scan de la rétine, etc.)

Une sous-catégorie du facteur de possession peut être considérée comme un quatrième facteur d’authentification en incorporant les informations comportementales et contextuelles comme « Quelque chose que vous faîtes ». Ce nouveau facteur peut regarder l’heure à laquelle un utilisateur se connecte typiquement, le lieu habituel ou son comportement pendant les sessions (utilisation du clavier, vitesse, fréquence des copier-coller, etc.).

Alors que nous nous écartons des mots de passe, trois facteurs d’authentification plus forts demeurent pour la MFA ou la 2FA. Minimiser votre dépendance aux mots de passe peut seulement renforcer la sécurité de votre réseau, tout en réduisant vos contacts avec le centre d’assistance informatique pour réinitialiser votre mot de passe.

Adoptez l’authentification multifacteur (MFA) basée sur le niveau de risque

La MFA basée sur le niveau de risque, également appelée MFA adaptative, évalue de manière dynamique le risque d’une interaction donnée en s’appuyant sur divers facteurs et ajuste en conséquence le processus d’authentification. En examinant le contexte et le comportement de la tentative de connexion, les acteurs malveillants utilisant des identifiants compromis peuvent être interrompus avant d’entrer dans votre système. Par exemple, si un utilisateur se connecte depuis une adresse IP douteuse et tente d’accéder à des informations sensibles, des méthodes d’authentification supplémentaire peuvent être demandées avant que l’accès soit accordé. Si aucune preuve supplémentaire d’identité n’est apportée, l’accès sera refusé.

En déterminant si les exigences de sécurité adéquates ont été respectées pour chaque transaction et en augmentant l’authentification lorsqu’elles ne l’ont pas été, vous ajoutez une couche de sécurité supplémentaire pour protéger les données sans introduire de friction inutile dans le processus.

Choisissez le bon mécanisme d’authentification alternative

Plusieurs méthodes d’authentification peuvent être utilisées à la place des mots de passe. En proposant plusieurs options d’authentification, nous pouvons satisfaire les utilisateurs sur la manière et l’endroit qu’ils préfèrent pour travailler avec les marques et/ou prendre en charge divers scénarios de collaborateurs.

Ci-dessous figure la liste des avantages et des inconvénients de ces méthodes.

Les mots de passe à usage unique (OTP) tombent dans la catégorie des choses que vous possédez, puisque les OTP sont envoyés sur un smartphone ou générés par un terminal, tel qu’une carte à puce, que possède l’utilisateur.

Les applis d’authentication, telles que Google authenticator ou Microsoft authenticator, peuvent être utilisées pour générer un code à usage unique pour s’authentifier.

La biométrie envoie à des traits physiques uniques. Si de nombreuses personnes connaissent bien la reconnaissance faciale ou celle des empreintes digitales, d’autres formes d’authentification biométrique, comme le scan de la rétine, l’empreinte vocale, l’authentification par ondes cérébrales ou rythme cardiaque, prennent également une importance grandissante.

Bei Les clés de sécurité sont des appareils physiques insérés dans un ordinateur ou un terminal mobile pour donner à l’utilisateur un accès instantané aux services en utilisant une touche ou un keypad.

Adoptez l’authentification reposant sur des standards avec FIDO et cryptographie asymétrique

Plusieurs organisations ont uni leur forces pour développer des alternatives aux mots de passe. Fondée en 2013, la FIDO Alliance kcrée des standards d’authentification pour aider à réduire la dépendance aux mots de passe dans le monde.

FIDO (Fast Identity Online) est un ensemble de protocoles d’authentification ouverts et standardisés utilisant des techniques de cryptographie asymétrique pour sécuriser l’authentification de l’utilisateur. Le fait que FIDO soit un standard ouvert signifie qu’il est pensé pour être généralisé, mis à disposition de tous et que son adoption, sa mise en œuvre et sa mise à jour sont gratuites. Ce standard offre une protection avancée contre le phishing, l’attaque de l’homme du milieu et autres attaques courantes.

FIDO Alliance a publié trois ensembles de spécifications, tous basés sur la cryptographie asymétrique :

• Universal Authentication Framework (UAF)

• Universal Second Factor (U2F)

• FIDO2

Toutes les communications sont chiffrées et les clés privées ne quittent jamais les terminaux des utilisateurs, ce qui réduit l’éventualité d’un piratage durant la transmission. Si des informations biométriques sont utilisées lors de la vérification, elles sont également stockées sur les terminaux des utilisateurs, ce qui rend ces processus d’authentification plus solides et plus sécurisés.

Les utilisateurs peuvent se connecter à un produit ou un service FIDO en utilisant leur méthode d’authentification préférée (scan de l’empreinte digitale, saisie d’un code PIN, etc.) parmi les méthodes acceptées par le produit ou le service.

Vous êtes prêt à passer au Passwordless

Commencez par le processus de création du compte. Plutôt que d’utiliser des mots de passe lors de la création du compte, utilisez le scan d’une empreinte digitale ou une autre méthode d’authentification. La preuve de l’identité peut également faire partie de votre parcours vers le passwordless, lors de l’enregistrement, de la récupération d’un compte ou lors d’un autre événement à haut risque déclenché par un signal. Avoir une plus grande assurance que vos utilisateurs sont bien ceux qu’ils prétendent être facilite la transition vers le passwordless.

Les noms d’utilisateur et les mots de passe appartiendront bientôt aux passé, de même que les problèmes de sécurité qui leur sont associés. Éliminer les mots de passe permet aussi d’éliminer les frictions associées à la création, à la mémorisation et à la réinitialisation des mots de passe. Dans la mesure ou des méthodes d’authentification plus sûres existent déjà, les outils sont actuellement disponibles pour atteindre votre objectif passwordless.

Pour en savoir plus sur le passwordless, regardez cette courte vidéo.

Il n’existe pas d’approche universelle pour passer au passwordless. Chaque entreprise doit évaluer sa situation en cours et avancer à son propre rythme. Trouver un quelqu’un dans l’entreprise et un partenaire passwordless pour aider au niveau des applis et des ressources, peut faciliter le parcours.