Qu'est-ce que l'authentification sans mot de passe ?

Qu'est-ce que l'authentification sans mot de passe ?

L'authentification sans mot de passe est le processus de vérification de l'identité d'une personne sans utiliser le nom d'utilisateur et le mot de passe habituels. Les outils qui injectent des identifiants traditionnels dans une invite de connexion ne sont pas exempts de mot de passe.

Les méthodes d'authentification sans mot de passe les plus courantes sont la biométrie, comme la reconnaissance d'empreintes digitales et faciale, et les applications hors bande, fréquentes sur les smartphones. Ces applications pour téléphones intelligents nécessitent souvent une vérification d'identité biométrique combinant plusieurs facteurs en un seul processus d'authentification.

OpenText IAM optimise votre entreprise

OpenText ™ Identity and Access Management (NetIQ) offre un ensemble complet de services d'identité et d'accès, permettant aux travailleurs d'accéder en toute sécurité aux ressources depuis n'importe où, sur n'importe quel appareil, n'importe où et au bon moment. OpenText Cybersecurity permet également aux organisations d'interagir avec leurs consommateurs de manière efficace et sécurisée.

Pourquoi l'authentification sans mot de passe est-elle populaire ?

Si la promesse d'une authentification sans mot de passe remplaçant les identifiants traditionnels existe depuis plus de trois décennies, la technologie disponible aujourd'hui en a fait une réalité. En 2022, le marché sans mot de passe représentait 15,6 milliards de dollars, mais il devrait atteindre plus de 53 milliards de dollars d'ici 2030. L'adoption massive des systèmes sans mot de passe est aujourd'hui rendue possible en grande partie grâce aux smartphones. Le rapport Dark Reading intitulé «L’état du sans mot de passe », commandé par OpenText, indique que 64 % des répondants estiment qu’il est important de passer à un modèle d’authentification entièrement sans mot de passe.

Au cours de la dernière décennie, le respect des obligations gouvernementales a été le principal facteur incitant les organisations à adopter des technologies sans mot de passe :

• Gouvernement— Les organismes gouvernementaux et du secteur public sont maintenant soumis à des exigences spécifiques d’authentification multifactorielle. Ces exigences ont commencé comme des recommandations, mais se sont transformées au fil des ans en politiques. Ces politiques ont été initialement mises en place sous forme de directives générales, mais elles ont évolué au fil du temps vers des mandats spécifiques à deux facteurs pour l'accès aux documents classifiés.
• Secteur de la santé— Aux États-Unis et dans le monde entier, les violations de données dans le secteur de la santé infligent aux organisations de ce marché des pertes financières plus importantes que dans tout autre secteur, même celui de la finance. Les institutions gouvernementales ont réagi en imposant des exigences spécifiques d'authentification sans mot de passe et à deux facteurs.
• Services financiers— Si la réglementation gouvernementale impose la protection des renseignements financiers et personnels privés des clients, le maintien de la confiance des consommateurs justifie la nécessité d'une sécurité des données. Alors que les services financiers ont été parmi les premiers à adopter l'authentification multifactorielle, les plateformes pour téléphones intelligents ont encore davantage favorisé l'adoption de l'authentification sans mot de passe pour la vérification d'identité. 

Vérification de l'identité des travailleurs

Historiquement, l'utilisation de la technologie sans mot de passe pour la sécurité des employés a été reléguée à des applications et à des utilisateurs spécialisés. Ce n’est qu’au cours de la dernière décennie que les quatre principaux obstacles à son adoption ont été éliminés :

1. Les jetons physiques, les lecteurs d'empreintes digitales de qualité professionnelle et autres dispositifs biométriques ne sont plus trop chers pour une utilisation à l'échelle de l'entreprise.
2. Le coût de l'inscription et de la configuration des appareils, autrefois prohibitif pour une adoption massive — en particulier pour les employés travaillant à distance et les bureaux trop petits pour justifier un soutien informatique sur place — est maintenant plus abordable.
3. L'administration à distance continue des dispositifs d'authentification, autrefois impossible, devient désormais une routine, les réinitialisations et reconfigurations à distance étant devenues la norme.
4. Là où les équipes de sécurité, leur direction et surtout leurs utilisateurs manquaient auparavant de confiance dans les technologies sans mot de passe, la récente multiplication des cas d'utilisation a généré une vague de modernisation et de planification de l'authentification.

Au-delà de l'évolution des appareils, les cas d'utilisation de l'authentification et les exigences qui s'y rapportent ont également évolué, au-delà des directives gouvernementales.

télétravail

Aujourd'hui plus que jamais, les travailleurs sur le terrain ont accès à des renseignements privés par le biais de plateformes mobiles. Bien au-delà des grands voyageurs, l'adoption du télétravail a connu une croissance significative au cours des trois dernières années. Alors que le travail à distance connaissait une croissance constante avant la pandémie, les nouvelles politiques de travail à distance se sont depuis largement répandues dans tous les secteurs.

Nuage 

Les données privées, structurées et non structurées, sont de plus en plus stockées et consultées depuis le nuage plutôt que depuis le centre de données. Avec la diminution spectaculaire de l'utilisation des centres de données hébergeant les services d'entreprise et acheminant le trafic à distance, les techniques de sécurité des pare-feu deviennent de plus en plus obsolètes.

Utilisation d'appareils personnels

L'adoption croissante du BYOD (Bring Your Own Device) contribue également à l'érosion du contrôle de sécurité. L'accès à distance aux ressources hébergées dans le nuage à partir d'un appareil personnel (BYOD) déplace la dépendance rudimentaire aux appareils gérés vers une sécurité basée sur l'identité. Cette dépendance se traduit par une exposition accrue à l'hameçonnage et autres attaques d'identité qui contournent la vérification d'identité.

Ce désengagement des réseaux gérés, des ressources numériques internes (services et données non structurées) et des appareils de l'entreprise signifie que les équipes de sécurité ne peuvent plus compter sur eux dans le cadre de leur stratégie. Au contraire, fonder la sécurité sur l'identité nécessite une stratégie vérifiée et hautement résistante aux imposteurs. Et même si l'adoption de l'authentification multifactorielle continuera de croître, l'authentification sans mot de passe à facteur unique rehausse le niveau de sécurité par rapport au nom d'utilisateur et au mot de passe tout en simplifiant le processus d'authentification. Les employés apprécient la rapidité et la commodité de la reconnaissance faciale, de la vérification des empreintes digitales ou d'autres expériences passives. Entre-temps, l'organisation bénéficie d'une protection accrue contre l'hameçonnage, principale vulnérabilité et source de violations de données.

Les consommateurs se tournent vers le mot de passe sans mot de passe

L'outil principal permettant l'accès sans mot de passe est le smartphone. Concentrant une puissance de calcul considérable dans un format compact, ils sont devenus indispensables à plusieurs d'entre nous, révolutionnant ainsi l'accès sans mot de passe. Nous les utilisons pour tout : des textos aux médias sociaux, en passant par les achats en ligne et les opérations bancaires. On prend des photos sur-le-champ, on cherche notre chemin ou des réponses.

Cette dépendance aux appareils informatiques portables a entraîné un changement de paradigme en matière d'authentification sans précédent :

• La connectivité universelle permet la vérification hors bande de l'identité d'une personne lors de l'authentification.
• La puissance de calcul portable peut générer des graines et des clés qui servent de NIP à usage unique.
• Les méthodes d'authentification biométriques et passives progresseront au même rythme que les téléphones intelligents, permettant ainsi à la vérification d'évoluer et de devenir plus sophistiquée.

Les consommateurs sont de plus en plus conscients des menaces que représente l'authentification traditionnelle pour eux. Les organisations prennent conscience de cette évolution et y voient des occasions d'améliorer leurs services numériques.

L'authentification sans mot de passe est-elle sécuritaire ?

L'équipe de Verizon chargée des violations de données a identifié le spear phishing comme la principale méthode de vol d'identifiants utilisée par les criminels. Le spear phishing est initié lorsque l'attaquant envoie un courriel qui semble provenir d'une source fiable, comme une banque, un collègue ou toute autre source, et qui redirige les victimes vers un faux site web. Ce site Web exige une authentification, trompant ainsi les victimes en leur faisant révéler leurs identifiants, entrer leurs numéros de carte de crédit ou fournir d'autres informations privées.

Une variante de cette attaque propose un lien qui, lorsqu'on clique dessus, installe un logiciel malveillant sur les ordinateurs des victimes.

La technologie sans mot de passe est bien adaptée pour se protéger contre ce type d'attaques. Pour les plateformes configurées pour supprimer les mots de passe, aucun ne peut être capturé lors de la saisie ou de la capture de frappe. Pour les plateformes qui offrent des mots de passe en option en plus de l'absence de mot de passe, il est possible de renforcer cette authentification par une authentification multifactorielle sans mot de passe, par exemple en utilisant un élément qu'ils possèdent (comme un téléphone intelligent) ou un élément qu'ils sont (biométrique).

Cette dépendance aux téléphones intelligents place leur vulnérabilité au cœur du débat sur la sécurité. Laissés sans surveillance, les appareils mobiles peuvent tomber entre les mains de pirates informatiques et d'autres personnes mal intentionnées, qui peuvent intercepter les NIP, les mots de passe à usage unique et les approbations push hors bande, et reconfigurer les données biométriques pour qu'elles correspondent aux leurs. Le vol de cartes SIM présente également un risque lié aux SMS/OTP. Même en faisant preuve de prudence, la sécurité des utilisateurs peut être compromise lorsque des attaquants manipulent les fournisseurs de services pour qu'ils annulent et transfèrent des informations cruciales à partir de cartes SIM légitimes.

Bien qu’aucune organisation ne puisse contrer toutes les menaces, il est vrai que le simple fait d’adopter un modèle sans mot de passe protège contre les plus courantes. Même pour l'authentification à facteur unique, abandonner la saisie manuelle des identifiants renforce la sécurité. Il est encore possible d’en faire plus, par exemple en augmentant les niveaux de sécurité grâce à l’authentification basée sur les risques (RBA). RBA a une longue expérience avérée dans la détermination des étapes supplémentaires nécessaires pour vérifier l'identité d'un utilisateur. Les organisations peuvent déclencher une authentification à deux facteurs dans certaines conditions prédéfinies, comme :

• Cet appareil a-t-il déjà été observé ?
  • Empreinte numérique de l'appareil
  • Témoin du navigateur
• L'utilisateur est-il à l'endroit prévu ?
  • service de géolocalisation IP
  • Géopérage (GSM)
• L'utilisateur se comporte-t-il comme prévu ?
  • Analyse du comportement des utilisateurs et des entités (UEBA)
• Quel est le niveau de risque de cette information ?

Ces critères aident les organisations à déterminer le nombre de niveaux de vérification d'identité nécessaires. Par exemple, exiger une empreinte digitale pour accéder à l'information. Il existe néanmoins un sous-ensemble plus sensible nécessitant une authentification multifactorielle lorsque le risque est élevé.

Comment mettre en œuvre une authentification sans mot de passe

La mise en place d'une connexion sans mot de passe implique plus que la simple suppression des mots de passe : elle nécessite une conception soignée des parcours utilisateurs, le choix d'authentificateurs robustes et la planification de solutions de repli. Voici une feuille de route (vous trouverez plus de détails dans le guide d'achat sans mot de passe d'OpenText) :

1. Définir les niveaux d'assurance et la cartographie des cas d'utilisation. Commencez par classer vos ressources par niveau de risque (par exemple, Informations de base sur le compte par rapport aux opérations financières). Utilisez des normes telles que les niveaux d'assurance d'authentification (AAL) du NIST pour déterminer le niveau de sécurité requis pour votre authentification dans chaque scénario. Ensuite, associez chaque parcours utilisateur (connexion, transaction, action d'administration) à un niveau d'assurance approprié.

2. Choisissez les méthodes d'authentification appropriées. Sélectionnez une ou plusieurs méthodes sans mot de passe qui correspondent à vos objectifs en matière de risque, de facilité d'utilisation et de coût. Idéalement, choisissez des normes interopérables (par exemple FIDO2) vous permet de demeurer indépendant des fournisseurs et compatible avec plusieurs plateformes. Les options incluent :

• Clés de sécurité du matériel/FIDO2/Authentification Web
• Applications mobiles avec notifications push hors bande ou TOTP
• vérification biométrique (empreinte digitale, visage, voix)
• Facteurs contextuels/passifs (position de l'appareil, géolocalisation, Bluetooth)

3. Concevoir un processus d'inscription sécurisé. Le lien entre un utilisateur et son authentificateur est essentiel. Vérifiez l'identité (par exemple, via des identifiants existants, une vérification d'identité ou des contrôles en personne), puis enregistrez cryptographiquement l'authentificateur. Prendre en charge plusieurs méthodes d'authentification par compte (afin que les utilisateurs disposent de sauvegardes) et leur permettre de désactiver ou de modifier ces méthodes.

4. Implanter les flux d'authentification. Pour chaque interaction (connexion, transaction, renouvellement de session) :

• Remettre en question l'authentificateur enregistré de l'utilisateur.
• Utilisez des échanges cryptographiquement sécurisés (par exemple, WebAuthn, CTAP).
• Inclure des signaux de fraude/de risque (empreinte digitale de l'appareil, localisation, comportement) pour adapter le niveau de sécurité requis.
• N'autorisez l'accès en cas de panne ou d'escalade qu'en cas de besoin (ne bloquez pas les accès à faible risque).

5. Prévoir des solutions de repli/de récupération. Aucun système n'est parfait. Les utilisateurs peuvent perdre leur téléphone ou leurs clés. Fournir des options de récupération sécurisées et hautement fiables (par exemple, (prise en charge de la vérification d'identité, d'authentificateurs alternatifs ou d'un système de repli par défi-réponse) pour rétablir l'accès sans affaiblir la sécurité.

6. Surveiller, itérer et échelonner les déploiements. Commencez par des groupes pilotes limités ou des voies non critiques. Surveillez les commentaires des utilisateurs, les taux d'abandon, les tickets d'assistance et les incidents de sécurité. Utilisez ces données pour raffiner vos flux, calibrer les seuils de risque et étendre la couverture. Assurez-vous que des systèmes de journalisation et d'analyse médico-légale sont en place pour détecter les anomalies.

Qu'est-ce que signifie « authentification sans mot de passe » ?

L'authentification sans mot de passe permet aux utilisateurs de se connecter sans avoir à mémoriser ou à saisir un mot de passe. L'authentification repose plutôt sur des identifiants cryptographiques liés à un appareil (ou biométriques/NIP) pour prouver l'identité.

En quoi l'authentification sans mot de passe diffère-t-elle de l'authentification multifactorielle (MFA) ?

L'authentification multifactorielle (MFA) ajoute généralement des contrôles supplémentaires au mot de passe. L'authentification sans mot de passe évite complètement les mots de passe, en s'appuyant uniquement sur des facteurs plus robustes (appareil, biométrie ou possession) et en y intégrant éventuellement des facteurs supplémentaires.

Quelles technologies ou méthodes permettent une connexion sans mot de passe ?

Les approches courantes sans mot de passe comprennent :

• Clés de sécurité du matériel/FIDO2/Authentification Web
• Vérifications biométriques (empreintes digitales, reconnaissance faciale) ou NIP de l'appareil
• notifications push mobiles ou applications
• Liens magiques ou codes à usage unique (s'ils sont conçus de manière sécuritaire)

L'absence de mot de passe est-elle plus sécuritaire que les mots de passe ?

Dans bien des cas, oui, l'absence de mot de passe est plus sécuritaire que les mots de passe, surtout lorsqu'elle est implémentée correctement. Comme il n'y a pas de mot de passe à voler, il résiste à la réutilisation des identifiants, aux attaques par force brute et à de nombreuses attaques de phishing.

Que se passe-t-il si un utilisateur perd son appareil ?

Vous devez prévoir des solutions de repli ou de récupération (par exemple, des authentificateurs alternatifs, des étapes de vérification d'identité ou des méthodes de récupération préenregistrées) afin que les utilisateurs puissent retrouver l'accès sans compromettre la sécurité.

L'adoption d'un système sans mot de passe est-elle difficile ou coûteuse ?

Le passage à une authentification sans mot de passe peut entraîner des coûts initiaux (infrastructure, intégration des utilisateurs, mise à disposition des appareils), mais ceux-ci sont souvent compensés par une réduction des réinitialisations de mots de passe, de la charge du service d'assistance et des risques de sécurité.

Les utilisateurs trouveront-ils le système sans mot de passe facile à utiliser ?

En général, oui. De nombreux utilisateurs trouvent les méthodes biométriques ou par notification push plus simples et plus rapides que les mots de passe. Toutefois, la formation des utilisateurs et la fluidité des processus sont essentielles pour réduire les frictions.