Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Que signifie vraiment « Passwordless» ?

Que Signifie Vraiment « Passwordless» ?
Back
19 février 2020
Wesley Dunnington
VP, Architecture

En qualité de professionnel de la sécurité, vous entendez certainement beaucoup parler du besoin de maximiser la sécurité tout en minimisant les points de frictions pour les utilisateurs. L'expression « authentification sans mot de passe » vous est peut-être aussi familière. L'authentification sans mot de passe va de pair avec l'idée de trouver un équilibre entre la sécurité et l'expérience utilisateur ; et on en parle de plus en plus comme une solution permettant de trouver cet équilibre.

 

Pourtant, l'idée de s'authentifier sans mot de passe suscite pour beaucoup plus de questions que de réponses. Que signifie vraiment le fait de se connecter sans mot de passe ? Mais aussi, pourquoi le vouloir et comment ça fonctionne ? Lisez la suite pour mieux comprendre en quoi consiste la suppression des mots de passe, pourquoi et comment l'adopter pour améliorer à la fois l'expérience utilisateur et votre sécurité en général.

 

Qu'est-ce que l'authentification sans mot de passe ?

Selon le Secret Security Wiki, l'authentification sans mot de passe est « une méthode pour vérifier l'identité d'un utilisateur sans que celui-ci ait à fournir un mot de passe ». Je crois que nous comprenons bien cela. Mais la confusion semble émaner du fait que l'absence de mot de passe ne rentre pas dans les cases habituelles. Il ne s'agit pas d'un produit ou d'une technologie en soi, comme l'authentification multi-facteurs (MFA) ou le single sign-on (SSO). Au lieu de cela, c'est un objectif ou un résultat visé.

 

L'objectif en se passant des mots de passe est de proposer des technologies et d'accompagner des cas d'utilisation qui réduisent, voire éliminent, l'utilisation des mots de passe. C'est un objectif logique car l'utilisation de mots de passe présente des difficultés d'utilisabilité et des risques de sécurité bien connus.

 

À titre d'exemple, utiliser la reconnaissance faciale au lieu d'un mot de passe est une manière de s'authentifier sans mot de passe. Utiliser l'analyse intelligente du comportement de l'activité d'un utilisateur pour déterminer les critères d'authentification (à savoir la MFA adaptative) en est une autre.

 

La première priorité de l'authentification sans mot de passe est de s'assurer de conserver ou de renforcer votre niveau de sécurité en réduisant ou en éliminant l'utilisation de mots de passe. Dit autrement, pour être sûr de ne pas compromettre la sécurité, il vous suffirait de mettre en place des tactiques sans mot de passe lorsque vous pouvez réunir assez de facteurs pour être parfaitement sûr de l'identité de l'utilisateur.

 

Un cas d'utilisation courant chez les employés minimise petit à petit le besoin de mots de passe en se basant sur le comportement de l'utilisateur. Lorsque le même utilisateur se connecte sur le même ordinateur à peu près à la même heure chaque jour, un schéma de comportement typique est établi. Si l'utilisateur continue de suivre ce même schéma, vous pouvez réduire la demande d'authentification avec un mot de passe de manière systématique. Par exemple, vous pourriez demander à l'utilisateur de saisir son mot de passe à chaque connexion pendant la première semaine. Si le comportement de l'utilisateur reste constant, vous pourriez alors réduire la demande de mot de passe à une fois par jour pendant le premier mois. Si un comportement typique se poursuit, vous pourriez alors demander un mot de passe seulement une fois par semaine à partir du deuxième mois.

Pourquoi éliminer les mots de passe ?

Vous pensez peut-être que l'authentification sans mot de passe semble plutôt cool. Vous vous demandez aussi, peut-être, si c'est vraiment nécessaire.

 

Si les mots de passe peuvent être démoniaques, ils présentent aussi des aspects négatifs qu'il faut ignorer. Pour commencer, il est trop facile de voler et de deviner des mots de passe. Malheureusement, les pratiques des utilisateurs en termes de mots de passe font que ces derniers sont faibles ou réutilisés sur plusieurs sites.

 

En réalité, bien qu'ils connaissent les risques, les utilisateurs continuent de choisir des mots de passe faibles. Pourquoi ? Parce qu'ils en ont marre des mots de passe. On estime qu'un utilisateur doit gérer en moyenne 200 mots de passe et que ce nombre pourrait doubler d'ici 2023. En raison du nombre impressionnant de comptes qu'ils doivent gérer, vos utilisateurs ont tendance à opter pour des pratiques risquées uniquement pour pouvoir suivre tous ces mots de passe.

 

80 % des fuites de données les plus importantes sont dues

à des mots de passe faibles ou compromis.

2019 Data Breach Investigations Report, Verizon

Dans le but de lutter contre cette tendance, certaines organisations demandent que les mots de passe soient plus complexes et changés plus fréquemment. Toutefois, souvent cela ne fait qu'aggraver le problème en augmentant la probabilité que les utilisateurs écrivent leurs mots de passe noir sur blanc ou qu'ils utilisent le même sur plusieurs sites. Cela a également un coût puisque les services d'assistance croulent sous un nombre croissant de demandes de réinitialisation de mot de passe, qui constitue une véritable charge supplémentaire pour tous ceux qui sont concernés par cette procédure.

 

Compte tenu des risques de sécurité et des problèmes d'utilisabilité que les mots de passe présentent, le besoin d'une authentification sans mot de passe n'est pas seulement une bonne idée, elle est impérative.

 

L'authentification multi-facteurs et l'authentification sans mot de passe, est-ce la même chose ?

La réponse courte est non. L'authentification multi-facteurs fournit une méthode pour accroître la confiance dans le fait qu'un utilisateur est bien celui qu'il prétend être en demandant un facteur d'authentification supplémentaire pour pouvoir accéder aux ressources. En revanche, l'authentification sans mot de passe permet d'accéder aux ressources grâce à un facteur d'authentification qui n'est pas un mot de passe. Contrairement à la MFA, l'authentification sans mot de passe peut impliquer un seul facteur, par exemple de type biométrique. Si le processus d'authentification implique plus d'un facteur et qu'aucun facteur ne correspond à un mot de passe, il s'agit alors de MFA sans mot de passe.

Quel est le meilleur schéma d'authentification pour supprimer les mots de passe ?

On parle d'authentification sans mot de passe lorsqu'un facteur d'authentification autre qu'un mot de passe est utilisé. Mais ce n'est pas parce qu'aucun mot de passe n'a pas été utilisé que le facteur d'authentification utilisé est nécessairement plus fort. Chaque type d'authentification a ses avantages et ses faiblesses.

 

Lorsque vous réfléchissez au schéma d'authentification à utiliser, il convient de peser les pour et les contre de chaque type de facteur d'authentification. Les facteurs d'authentification appartiennent à l'une des trois catégories suivantes : quelque chose que vous connaissez, quelque chose que vous avez et quelque chose que vous êtes, avec les avantages et les inconvénients suivants.

 

Quelque chose que vous connaissez

Par exemple : un mot de passe, un code PIN, le nom de votre premier animal domestique (ce qu'on appelle aussi KBA, l'authentification basée sur les connaissances)

  • Avantage : facile à installer
  • Inconvénient : facile à oublier ou à voler

 

Quelque chose que vous avez

Par exemple : téléphone, clé RSA, messagerie électronique, authentifiant FIDO

  • Avantage : le plus difficile à voler à distance
  • Inconvénient : une alternative est nécessaire s'il se casse ou en cas de perte

 

Quelque chose que vous êtes (un facteur biométrique)

Par exemple : facteurs biométriques tels que la reconnaissance faciale, le scan de l'empreinte digitale, l'empreinte vocale, un ECG

  • Avantage : impossible à oublier
  • Inconvénient : dépendant d'un appareil si associé à celui-ci

 

Compte tenu du nombre d'options d'authentification disponibles, vous vous demandez peut-être comment trouver le juste équilibre entre la sécurité, l'utilisabilité et le coût que cela représente pour l'utilisation que vous en faîtes. Pour commencer, dressez la liste des diverses applications que vous utilisez, déterminez les besoins en sécurité de chacune d'entre elles et identifiez quelle population d'utilisateur devrait pouvoir y accéder. Lorsque vous avez réuni ces informations, vous pouvez commencer à exposer les scénarios d'accès aux applications qui vous permettront d'identifier facilement la(les) meilleure(s) méthode(s) d'authentification pour chacune d'entre elles.

Pour en savoir plus sur l'évaluation des

facteurs d'authentification pour vos cas d'usage, obtenez le livre blanc.

Exemple de cas d'usage dépourvus de mot de passe

Deux cas d'usage très différents mais courants d'authentification sans mot de passe sont l'accès par des consommateurs à des cartes de crédit prépayées et l'accès par un expert en assurances aux fichiers et à l'historique des déclarations d'un client.

 

Accès d'un consommateur au solde disponible sur une carte cadeau

Les cartes cadeaux sont courantes et correspondent à un montant d'environ 27,5 milliards de dollars dépensés pour faire des cadeaux pendant les vacances, d'après la National Retail Federation. Mais elles sont tout aussi populaires auprès des cybercriminels et autres voleurs. Bien que les acteurs malveillants puissent voler et escroquer de nombreuses manières les cartes cadeaux, les commerçants veulent logiquement que ces cartes soient aussi faciles d'utilisation que possible pour leurs utilisateurs légitimes, sans quoi ils risquent de perdre un chiffre d'affaire important.

 

Cela constitue une occasion d'avoir recours à l'authentification sans mot de passe. Étant donné que dans presque tous les cas le client devra s'enregistrer avec son adresse électronique pour pouvoir connaître le solde de sa carte cadeau, cette même adresse pourrait être utilisée pour envoyer un code d'authentification à usage unique la première fois qu'il accédera à la carte depuis un nouvel appareil. Vous pourriez également proposer à l'utilisateur de faire confiance au nouvel appareil puis garder l'empreinte de cet appareil pour qu'il n'ait plus à se ré-authentifier depuis celui-ci pendant une durée donnée.

 

Expert en assurance accédant aux fichiers

Dans le secteur de l'assurance, la sécurité est primordiale. Mais vous ne voulez pas prendre de mesures de sécurité restrictives qui empêcheraient à ceux qui en ont besoin de pouvoir accéder aux informations. Dans ce cas d'usage, l'authentification pourrait consister à envoyer une notification push vers une application d'authentification basée sur un téléphone qui utilise la reconnaissance faciale ou l'empreinte digitale, avec un facteur de sauvegarde d'un authentifiant FIDO protégé par un code PIN, par exemple une YubiKey.

 

Grâce à cette combinaison, l'expert peut se connecter dans des conditions normales en répondant à la notification push. S'ils ne peuvent pas recevoir de notification push ni y répondre, l'expert peut utiliser la Yubikey comme méthode d'authentification de repli. Etant donné que la Yubikey est un authentifiant FIDO et donc détaché du téléphone ou de l'ordinateur portable, l'expert peut utiliser un code PIN pour déverrouiller l'authentifiant et obtenir l'accès. La sécurité est maintenue et la productivité n'est pas affectée négativement.

 

Se lancer dans l'authentification sans mot de passe

Désormais, vous commencez à voir les avantages de l'authentification sans mot de passe. Vous avez peut-être aussi une idée sur la manière dont elle pourra procurer une sécurité renforcée et une meilleure expérience à vos utilisateurs. Comprendre les avantages est un premier pas, mais pour les réaliser vous devez aller plus loin.

 

Afin de vous aider à prévoir votre chemin, nous, chez Ping Identity, avons développé Passwordless Maturity Scale, une Échelle de maturité pour l'absence de mot de passe, pour vous aider à mieux comprendre votre état actuel et découvrir quelle est l'étape suivante la plus adaptée à votre organisation. Vous découvrirez les huit étapes qui vous aideront à passer des noms d'utilisateurs et des mots de passe à l'authentification sans connexion et continue.

Commencer avec le Zero Trust

Vous commencez maintenant à voir les avantages de l'authentification sans mot de passe "Passwordless". Vous pouvez même avoir des idées sur la façon dont cela pourrait fournir une sécurité renforcée et une meilleure expérience pour vos utilisateurs. Bien que la compréhension des avantages soit la première étape, pour les réaliser, vous devez continuer à aller de l'avant.

 

Pour vous aider à planifier votre parcours Zero Trust, nos capacités de "Passwordless" de PingZero vous fournissent une feuille de route pour commencer aujourd'hui et permettent à votre organisation de réduire les risques liés aux mots de passe au fil du temps. Découvrez les huit étapes qui vous aideront à passer des noms d'utilisateur et mots de passe au Zero Login et à une authentification continue.

Pour en savoir plus sur l'échelle de maturité Passwordless et commencer votre parcours vers l'authentification sans mot de passe avec PingZero, téléchargez le livre blanc dès aujourd'hui.

Related Posts
Categories