De plus en plus populaire auprès des navigateurs, des systèmes d’exploitation et des terminaux, WebAuthn est un protocole d’authentification des API sans mot de passe qui fonctionne au sein d’un navigateur pour enregistrer, gérer et authentifier des utilisateurs. Il ne nécessite aucun mot de passe, résiste au phishing et utilise deux facteurs en un.
Du début à la fin, le processus WebAuthn implique quatre éléments : un utilisateur, un navigateur compatible avec WebAuthn, un(e) application/service et un authentifiant. Bien qu’ils ne fassent pas partie du protocole même, des authentifiants sont nécessaires car WebAuthn élimine le besoin d’avoir un mot de passe et requiert d’avoir un authentifiant à sa place. Les authentifiants se trouvent sur le terminal de l’utilisateur et sont biométriques (empreintes digitales ou reconnaissance faciale) ou font partie d’un équipement externe (comme une Yubi key). Ils peuvent également être intégrés à une plateforme logicielle, telle que MacOS, Windows, Android ou iOS.
DEUX FACTEURS EN UN
WebAuthn élimine l’utilisation du mot de passe commun come un facteur unique mais fonctionne toujours comme authentification multifacteur (MFA) car l’utilisateur doit présenter « quelque chose qu’il est » (identité biométrique) et « quelque chose qu’il a » (son appareil).
Le protocole WebAuthn déplace les identités de l’utilisateur dans le navigateur et dans les appareils sans avoir besoin de communication directe entre l’utilisateur et le serveur. Par exemple, lorsque la requête initiale est envoyée, elle se dirige vers le navigateur et non vers le service. En retour, la réponse à la requête retourne vers le navigateur, non vers l’utilisateur.
Pour que cela se produise, WebAuthn utilise une clé publique depuis l’application web et une clé privée depuis l’utilisateur (des authentifiants biométriques ou basés sur la possession dans des téléphones portables, des tablettes, des ordinateurs portables, etc.). Ce processus permet aussi aux utilisateurs de se connecter sur des applications et des services cloud différents avec la même identité, en éliminant le besoin de créer des identifiants uniques pour chacun.
EXEMPLE
Ian ouvre un navigateur et commence à se connecter au site web de son université par le biais d’un navigateur compatible avec WebAuthn.
Le navigateur constate que Ian possède un appareil enregistré et demande à son système d’exploitation Mac d’obtenir ses données d’authentification (clé privée).
Une fois que l’identité de Ian a été vérifiée, le navigateur met en place une clé d’identité sécurisée permettant à Ian d’être connecté automatiquement au site web de l’université.
Si Ian quitte le site web de son université et se connecte à une autre application compatible WebAuthn, le navigateur peut partager sa clé d’identité sous couvert du système d’exploitation Mac, ce qui permet à d’autres services et appareils, outre son université, d’identifier Ian.
Le protocole WebAuthn utilise une paire de clés publique-privée pour authentifier l’utilisateur par le biais d’un navigateur compatible WebAuthn. La clé privée (biométrie ou appareil externe) est stockée sur l’appareil de l’utilisateur. La clé publique est stockée dans l’application web avec un identifiant chiffré et généré de façon aléatoire.
Lorsqu’un utilisateur se connecte à une application web, le navigateur demande à l’utilisateur de s’authentifier à l’aide d’un authentifiant, également appelé clé privé. L’utilisateur répond à cette demande en activant son identité biométrique (empreintes digitales ou reconnaissance faciale) ou un appareil physique externe (comme une Yubi key). En utilisant le protocole, le navigateur indique au service que l’utilisateur est authentifié et lui transmet la clé privée.
Une fois que la clé privée a été approuvée par le service, il signe la requête et la renvoie au navigateur avec une clé publique. Lorsqu’elle parvient au navigateur, l’utilisateur est authentifié et peut utiliser le service.
L’utilisation de WebAuthn procure une expérience fluide pour vos employés, vos clients et autres utilisateurs. L’authentification avec la biométrie ou une clé physique est supérieure à l’utilisation d’un mot de passe comme clé unique. Elle garantit une expérience utilisateur fluide avec moins de frictions que d’autres méthodes, et elle contourne les risques associés à l’utilisation d’un mot de passe.
Pour ce qui est des organisations, WebAuthn offre une connexion plus rapide grâce à plusieurs méthodes, appareils et systèmes d’exploitation. Il évite le risque d’avoir des cyberattaques basées sur les mots de passe et offre une résistance aux attaques par phishing, en particulier lorsqu’un authentifiant biométrique est utilisé. Pour ce qui est des informaticiens, WebAuthn leur libère du temps, en leur permettant de travailler sur d’autres projets, et réduit les appels au service client et d’assistance.
Ressources annexes
Lancez-vous dès Aujourd'hui
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite
Nous vous remercions ! Veuillez consulter votre boîte email.