24. octobre 2021

Passwordless Authentication: Vous pouvez oublier des mots de passe

Il est techniquement possible depuis longtemps de se passer de mots de passe (dans la mesure du possible). Nous vous informerons des options sans mot de passe.

Au cours des dernières années, de plus en plus d’experts sont arrivés à la conclusion que la meilleure stratégie en matière de mots de passe consiste à ne pas en avoir du tout. Dans de nombreux endroits, on appelle cela « authentification sans mot de passe » – bien que ce nom soit légèrement trompeur – mais nous y reviendrons plus tard. En ce qui concerne le concept sans mot de passe, plusieurs innovations ont déjà vu le jour, par exemple Windows 10 Hello ou Okta Verify. Mais d’autres fournisseurs tels que Auth0 ou HYPR ont également des solutions innovantes dans ce domaine.

Les raisons de se passer de mots de passe

  • En ce qui concerne les avantages d’un concept d’authentification sans mot de passe, vous devez d’abord vous demander quels objectifs vous souhaitez atteindre :
  • Voulez-vous vraiment libérer complètement tous les employés des mots de passe ? Ou êtes-vous plus préoccupé par la
  • prévention de l’utilisation multiple des mêmes mots de passe ?
  • Vous utilisez actuellement du matériel de sécurité tel que RSA SecurID et souhaitez une solution plus pratique ?
  • Vous cherchez à renforcer l’utilisation de l’authentification multifactorielle (AMF) pour mieux protéger vos données de connexion ?

Chacun de ces cas est une bonne raison d’envisager un modèle sans mot de passe – cependant, le diable se cache dans les détails : Toutes les applications ne supportent pas l’option sans mot de passe, certaines ne supportent même pas toutes les options MFA. Si vous avez déployé vos propres applications personnalisées, vos développeurs devront intégrer ultérieurement des fonctionnalités sans mot de passe. Un kit de développement logiciel, par exemple, peut être utile à cet égard ; des fournisseurs tels que Auth0 et HYPR proposent des outils correspondants.

Si vous utilisez déjà l’authentification unique (SSO) ou des gestionnaires de mots de passe, vous devriez combiner ces outils avec l’authentification sans mot de passe pour rendre le changement un peu plus agréable pour vos employés. Si vous ne disposez pas encore d’un système de gestion des identités, vous devriez jeter un coup d’œil aux offres de fournisseurs tels que RSA, OneLogin ou Okta. Le point commun de ces trois fournisseurs est qu’ils essaient de mieux intégrer l’authentification sans mot de passe et l’AMF dans leurs solutions.

Comment fonctionne le système sans mot de passe

Il existe plusieurs méthodes pour mettre en œuvre l’authentification sans mot de passe dans la pratique. Chacune de ces méthodes implique également une authentification multifactorielle, mais sans qu’il soit nécessaire de saisir un mot de passe à usage unique – ou code PIN. Vous devez savoir qu’un tel changement de paradigme peut nécessiter une formation.

Biométrie

Les scanners d’empreintes digitales et de visage sont devenus une méthode populaire d’authentification multifactorielle grâce à leur omniprésence dans les smartphones. La plupart des principales applications d’authentification (notamment Authy, Lastpass et Dashlane) prennent désormais en charge Face ID et Touch ID d’Apple. C’est également le moyen le plus simple de parvenir à une authentification sans mot de passe, à condition que vos utilisateurs s’y sentent à l’aise.

En termes de support, cependant, la suppression des mots de passe peut être un défi, car l’authentification biométrique doit être ajoutée à chaque application concernée. Si les utilisateurs n’ont pas d’expérience avec des systèmes comme Face ID ou Touch ID, cela ne facilite pas les choses. Pour l’instant, il est peut-être préférable de s’en remettre exclusivement aux applications pour smartphones, du moins jusqu’à ce que les méthodes d’authentification biométrique puissent être mieux intégrées aux systèmes d’authentification unique et de gestion des identités.

Empreinte digitale du dispositif

De nombreux experts sont convaincus qu’un concept sans mot de passe peut être mis en œuvre avec la bonne vieille méthode des clés. Les méthodes qui utilisent une clé publique et une clé privée existent depuis plusieurs décennies et sont issues de la cryptographie.

La meilleure façon de mettre en œuvre un tel concept dans la pratique est le micrologiciel. Elle peut être intégrée soit dans un smartphone, soit dans un matériel de sécurité. Le fournisseur de SSO Okta a récemment annoncé son application Verify, qui s’appuie également sur l’empreinte digitale des appareils pour réaliser une authentification sans mot de passe. L’avantage de la solution Okta est qu’elle offre un éventail relativement large d’options d’intégration dans les applications SaaS existantes, ce qui peut faciliter la transition.

Une alternative open source est le projet Tidas. Il a été lancé en 2016, mais n’a pas encore vraiment décollé. Cette technologie utilise les clés de chiffrement des nouveaux modèles d’iPhone (pas encore de support Android) pour signer et chiffrer les données. Le SDK se charge des connexions, de sorte que les utilisateurs n’ont plus à réfléchir à des mots de passe, mais doivent simplement placer leur doigt sur le capteur Touch ID.

FIDO2

L’idée de la FIDO (Fast Identity Online) est de créer des normes industrielles ouvertes, sans licence et uniformes en matière d’authentification, qu’il s’agisse d’un matériel dédié ou d’un smartphone avec micrologiciel. L’alliance FIDO a également connu un démarrage lent, mais elle compte désormais suffisamment de fournisseurs pour être intéressante pour les entreprises. La spécification FIDO2 actuelle compte des centaines de partisans, dont de grandes institutions financières, des fournisseurs de sécurité et des poids lourds de la technologie comme Microsoft, Google et Apple.

Si vous avez hésité jusqu’à présent à adopter la FIDO, c’est peut-être le bon moment pour mettre en place un projet pilote. Les clés de sécurité Google Titan ou Yubico Yubikey, par exemple, sont disponibles à cet effet. Tous deux ne nécessitent pas la transmission de codes PIN : Une simple pression sur un bouton suffit pour l’authentification. Les deux appareils sont disponibles dans différents facteurs de forme et avec différentes technologies sans fil et USB.