Qu'est-ce que l'authentification sans mot de passe ?

Qu'est-ce que l'authentification sans mot de passe ?

L'authentification sans mot de passe est le processus de vérification de l'identité d'une personne sans l'utilisation d'un nom d'utilisateur et d'un mot de passe. Les outils qui injectent des informations d'identification traditionnelles dans une invite de connexion ne sont pas sans mot de passe.

Les méthodes d'authentification sans mot de passe les plus courantes sont la biométrie, comme les empreintes digitales et la reconnaissance faciale, et les applications hors bande, qui sont courantes sur les smartphones. Ces applications pour smartphone nécessitent souvent une vérification biométrique de l'identité, combinant plusieurs facteurs en un seul processus d'authentification.

OpenText IAM : le moteur de votre entreprise

OpenText™ Identity and Access Management (NetIQ) offre un ensemble complet de services d'identité et d'accès, permettant aux travailleurs d'accéder en toute sécurité aux ressources de n'importe où, sur n'importe quel appareil, à n'importe quel endroit et au bon moment. OpenText Cybersecurity permet également aux organisations d'interagir avec leurs consommateurs de manière efficace et sécurisée.

Pourquoi l'authentification sans mot de passe est-elle populaire ?

Si la promesse d'une authentification sans mot de passe remplaçant les identifiants traditionnels existe depuis plus de trente ans, la technologie disponible aujourd'hui en a fait une réalité. En 2022, le marché des produits sans mot de passe représentait 15,6 milliards de dollars, mais il devrait atteindre plus de 53 milliards de dollars d'ici à 2030. Aujourd'hui, l'adoption du sans-mot de passe est en grande partie rendue possible par les smartphones. Le rapport Dark Reading "The State of Passwordless" commandé par OpenText indique que 64% des personnes interrogées estiment qu'il est important de passer à un modèle d'authentification sans mot de passe.

Au cours de la dernière décennie, c'est le respect des obligations gouvernementales qui a incité les organisations à adopter des technologies sans mot de passe :

• Gouvernement- Les organismes gouvernementaux et du secteur public sont désormais soumis à des exigences spécifiques en matière d'authentification multifactorielle. Ces exigences ont d'abord été des recommandations mais, au fil des ans, elles se sont transformées en politiques. Ces politiques ont été mises en place sous la forme de lignes directrices générales, mais elles ont évolué au fil du temps vers des mandats spécifiques à deux facteurs pour l'accès aux documents classifiés.
• Soins de santé -Les violations dans le domaine des soins de santéaux États-Unis et dans le monde entier infligent aux organisations de ce marché des pertes financières plus importantes que celles de tout autre marché, même celui de la finance. Les institutions gouvernementales ont réagi en imposant des exigences spécifiques en matière d'authentification sans mot de passe et d'authentification à deux facteurs.
• Services financiers - Alors queles réglementations gouvernementales imposent la protection des informations financières et personnelles des clients, le maintien de la confiance des consommateurs rend nécessaire la sécurité des données. Alors que les services financiers ont été les premiers à adopter l'authentification multifactorielle, les plates-formes de smartphones ont favorisé l'adoption de l'authentification sans mot de passe pour la vérification de l'identité. 

Vérification de l'identité des travailleurs

Historiquement, l'utilisation de la technologie sans mot de passe dans la sécurité du personnel a été reléguée à des applications et des utilisateurs spécialisés. Ce n'est qu'au cours de la dernière décennie que les quatre principaux obstacles à son adoption ont été levés :

1. Les jetons rigides, les lecteurs d'empreintes digitales d'entreprise et les autres dispositifs biométriques ne sont plus trop chers pour être utilisés à l'échelle de l'entreprise.
2. Le coût de l'inscription et de la configuration des appareils, autrefois prohibitif pour une adoption massive - en particulier pour les employés distants et les bureaux trop petits pour justifier une assistance informatique sur place - est désormais plus abordable.
3. L'administration à distance des dispositifs d'authentification, autrefois impossible, devient aujourd'hui une routine, la réinitialisation et la reconfiguration à distance devenant la norme.
4. Alors que les équipes de sécurité, leur direction et surtout leurs utilisateurs manquaient auparavant de confiance dans les technologies sans mot de passe, la récente prolifération des cas d'utilisation a généré une vague de modernisation et de planification de l'authentification.

Au-delà de l'évolution des appareils, les cas d'utilisation de l'authentification et les exigences qui s'y rapportent ont également changé au-delà des mandats gouvernementaux.

Travail à distance

Aujourd'hui plus que jamais, les travailleurs sur le terrain accèdent à des informations privées en utilisant des plateformes mobiles. Bien au-delà des guerriers de la route, l'adoption du télétravail a connu une croissance significative au cours des trois dernières années. Alors que le travail à distance se développait régulièrement avant la pandémie, de nouvelles politiques de travail à distance ont été adoptées dans tous les secteurs d'activité.

Cloud 

Les données privées structurées et non structurées sont de plus en plus stockées et accessibles à partir du nuage plutôt que du centre de données. L'utilisation de centres de données hébergeant des services d'entreprise et acheminant le trafic à distance ayant considérablement diminué, les techniques de sécurité des pare-feux deviennent de moins en moins pertinentes.

Utilisation d'appareils personnels

Le contrôle de la sécurité est encore érodé par l'adoption croissante du BYOD (bring-your-own-device). L'accès à distance aux ressources hébergées dans le nuage à partir du BYOD déplace la dépendance rudimentaire des dispositifs gérés vers la sécurité basée sur l'identité. Cette dépendance se traduit par une exposition accrue au phishing et à d'autres attaques d'identité qui contournent la vérification de l'identité.

L'abandon des réseaux gérés, des ressources numériques internes (services et données non structurées) et des appareils d'entreprise signifie que les équipes de sécurité ne peuvent plus compter sur eux dans le cadre de leur stratégie. Au contraire, fonder la sécurité sur l'identité nécessite une stratégie vérifiée très résistante aux imposteurs. Alors que l'adoption de l'authentification multifactorielle va continuer à croître, l'authentification sans mot de passe à facteur unique relève le niveau de sécurité par rapport au nom d'utilisateur et au mot de passe tout en simplifiant le processus d'authentification. Les employés apprécient la rapidité et la commodité de la reconnaissance faciale, des empreintes digitales vérifiées ou d'autres expériences passives. Parallèlement, l'organisation bénéficie d'une protection accrue contre l'hameçonnage, la vulnérabilité la plus importante et la source la plus fréquente de violations.

Les consommateurs passent au sans-mot de passe

Le principal outil permettant de se passer de mot de passe est le smartphone. Avec une puissance de calcul considérable dans un petit boîtier, ils sont devenus indispensables à beaucoup d'entre nous, ce qui change la donne en matière d'absence de mot de passe. Nous les utilisons pour tout, des SMS aux médias sociaux, en passant par les achats en ligne et les opérations bancaires. Nous prenons des photos en un clin d'œil, cherchons des indications ou des réponses.

Cette dépendance à l'égard des appareils informatiques portables a entraîné un changement de paradigme d'authentification sans précédent :

• La connectivité universelle permet de vérifier l'identité d'une personne hors bande lors de l'authentification.
• La puissance de traitement portable peut générer des semences et des clés qui agissent comme des épingles à usage unique.
• Les méthodes d'authentification biométriques et passives progresseront au fur et à mesure que les smartphones se développeront, ce qui permettra à la vérification d'évoluer et de devenir plus sophistiquée.

Les consommateurs sont de plus en plus conscients des menaces que l'authentification traditionnelle fait peser sur eux. Les organisations reconnaissent ce changement et voient des opportunités d'améliorer leurs services numériques.

Quelle est la sécurité de l'authentification sans mot de passe ?

L'équipe de Verizon chargée des atteintes à la protection des données a identifié le spear phishing comme étant la principale méthode utilisée par les criminels pour voler des informations d'identification. Le spear phishing est déclenché lorsque l'attaquant envoie un courriel qui semble provenir d'une source fiable, telle qu'une banque, un collègue ou une autre source, et qui renvoie les victimes vers un faux site web. Ce site web nécessite une authentification, ce qui incite les victimes à révéler leurs identifiants, à saisir leur numéro de carte de crédit ou à fournir d'autres informations confidentielles.

Une variante de cette attaque propose un lien qui, lorsqu'il est cliqué, installe un logiciel malveillant sur l'ordinateur des victimes.

La technologie sans mot de passe est bien adaptée à la protection contre ces types d'attaques. Pour les plates-formes configurées pour éliminer les mots de passe, aucun ne peut être capturé via la saisie ou la capture de frappe. Pour les plateformes qui proposent des mots de passe en option en plus de l'authentification sans mot de passe, celle-ci peut être renforcée par une authentification multifactorielle sans mot de passe, par exemple un élément que l'utilisateur possède - comme un smartphone - ou un élément qu'il est - comme une empreinte biométrique.

Cette dépendance à l'égard des smartphones place leurs vulnérabilités au premier plan des discussions sur la sécurité. Laissés sans surveillance, les appareils mobiles peuvent tomber entre les mains de pirates et d'autres acteurs malveillants, qui peuvent intercepter les codes PIN, les OTP et les approbations push hors bande, et reconfigurer les données biométriques pour les faire correspondre à leurs propres caractéristiques. Le vol de la carte SIM présente également un risque pour les SMS/OTP. Même si les utilisateurs sont prudents, leur sécurité peut être compromise lorsque des pirates manipulent les fournisseurs de services pour qu'ils annulent ou transfèrent des informations cruciales à partir de cartes SIM légitimes.

Bien qu'aucune organisation ne puisse déjouer toutes les menaces, il est vrai que le simple fait de passer à un paradigme sans mot de passe permet de se protéger contre les menaces les plus courantes. Même dans le cas de l'authentification à facteur unique, l'abandon de la saisie d'informations d'identification renforce la sécurité. Il est possible d'aller encore plus loin, par exemple en élevant les niveaux de sécurité grâce à l'authentification basée sur le risque (RBA). Le RBA a depuis longtemps fait ses preuves pour ce qui est de déterminer quand des mesures supplémentaires sont nécessaires pour vérifier l'identité d'un utilisateur. Les organisations peuvent invoquer une authentification à deuxième facteur dans des conditions prédéfinies, telles que

• L'appareil a-t-il déjà été vu ?
  • Empreinte digitale des appareils
  • Cookie du navigateur
• L'utilisateur se trouve-t-il à l'endroit prévu ?
  • Service de géolocalisation IP
  • Geofencing (GSM)
• L'utilisateur se comporte-t-il comme prévu ?
  • Analyse du comportement des utilisateurs et des entités (UEBA)
• Quel est le niveau de risque de l'information ?

Ces critères aident les organisations à déterminer le nombre de niveaux de vérification de l'identité nécessaires. Par exemple, exiger une empreinte digitale pour accéder aux informations. Toutefois, un sous-ensemble plus sensible nécessite une authentification multifactorielle lorsque le risque est élevé.

Comment mettre en œuvre l'authentification sans mot de passe

La mise en œuvre d'une connexion sans mot de passe ne se limite pas à la suppression de l' utilisation des mots de passe: elle nécessite une conception minutieuse des flux d'utilisateurs, le choix d'authentificateurs forts et la planification de solutions de repli. Voici une feuille de route (vous trouverez plus de détails dans le guide d'achat sans mot de passe d'OpenText) :

1. Définir les niveaux d'assurance et la cartographie des cas d'utilisation. Commencez par classer vos ressources par niveau de risque (par ex. informations de base sur les comptes vs. opérations financières). Utilisez des normes telles que les niveaux d'assurance d'authentification (AAL) du NIST pour déterminer le niveau d'authentification requis pour chaque scénario. Associez ensuite chaque parcours de l'utilisateur (connexion, transaction, action administrative) à un niveau d'assurance approprié.

2. Choisissez les bonnes méthodes d'authentification. Sélectionnez une ou plusieurs méthodes sans mot de passe qui correspondent à vos objectifs en matière de risque, de facilité d'utilisation et de coût. Idéalement, il faudrait choisir des normes interopérables (par ex. FIDO2) afin de rester agnostique et multiplateforme. Les options comprennent

• Clés de sécurité matérielles/FIDO2/WebAuthn
• Applications mobiles avec push hors bande ou TOTP
• Vérification biométrique (empreinte digitale, visage, voix)
• Facteurs contextuels/passifs (posture de l'appareil, géolocalisation, Bluetooth)

3. Concevoir un flux d'inscription sécurisé. Le lien entre un utilisateur et son authentificateur est essentiel. Vérifier l'identité (par exemple, à l'aide d'informations d'identification existantes, de preuves d'identité ou de contrôles en personne), puis enregistrer cryptographiquement l'authentificateur. Prendre en charge plusieurs authentificateurs par compte (afin que les utilisateurs disposent de sauvegardes) et leur permettre de désactiver ou de modifier les méthodes.

4. Mettre en œuvre les flux d'authentification. Pour chaque interaction (connexion, transaction, renouvellement de session) :

• Défier l'authentificateur inscrit de l'utilisateur.
• Utiliser des échanges cryptographiquement sécurisés (par exemple, WebAuthn, CTAP).
• Inclure des signaux de fraude/risque (empreinte digitale de l'appareil, localisation, comportement) pour adapter la force requise.
• Ne pas ouvrir ou escalader uniquement en cas de besoin (ne pas bloquer les accès à faible risque).

5. Fournir des voies de repli ou de récupération. Aucun système n'est parfait. Les utilisateurs peuvent perdre leur téléphone ou leur clé. Fournir des options de récupération sécurisées et à haut niveau d'assurance (par ex. (vérification de l'identité, authentificateurs alternatifs, ou système de réponse par défi) pour rétablir l'accès sans affaiblir la sécurité.

6. Contrôler, répéter et échelonner les déploiements. Commencez par des groupes pilotes limités ou des voies non critiques. Surveiller les réactions des utilisateurs, les taux d'abandon, les tickets d'assistance et les événements liés à la sécurité. Utilisez ces données pour affiner vos flux, calibrer les seuils de risque et étendre la couverture. Veillez à ce que des journaux et des traces judiciaires soient en place pour détecter les anomalies.

Que signifie "authentification sans mot de passe" ?

L'authentification sans mot de passe signifie que les utilisateurs peuvent se connecter sans avoir à mémoriser ou à taper des mots de passe. L'authentification repose plutôt sur des données cryptographiques liées à un dispositif (ou biométrique/NIP) pour prouver l'identité.

En quoi l'authentification sans mot de passe diffère-t-elle de l'authentification multifactorielle (AMF) ?

L'AMF superpose généralement des vérifications supplémentaires au mot de passe. L'authentification sans mot de passe permet d'éviter complètement les mots de passe, en s'appuyant uniquement sur des facteurs plus forts (appareil, biométrie ou possession) et, éventuellement, sur d'autres facteurs.

Quelles technologies ou méthodes permettent de se connecter sans mot de passe ?

Les approches courantes sans mot de passe sont les suivantes

• Clés de sécurité matérielles/FIDO2/WebAuthn
• Contrôles biométriques (empreintes digitales, visage) ou code PIN de l'appareil
• Notifications push mobiles ou applications
• Liens magiques ou codes à usage unique (s'ils sont conçus de manière sécurisée)

L'absence de mot de passe est-elle plus sûre que les mots de passe ?

Dans de nombreux cas, oui, l'absence de mot de passe est plus sûre que les mots de passe, surtout lorsqu'elle est mise en œuvre correctement. Comme il n'y a pas de mot de passe à voler, il résiste à la réutilisation des informations d'identification, à la force brute et à de nombreuses attaques par hameçonnage.

Que se passe-t-il si un utilisateur perd son appareil ?

Vous devez mettre en place des options de repli ou de récupération (par exemple, des authentificateurs alternatifs, des étapes de vérification de l'identité ou des méthodes de récupération préenregistrées) afin que les utilisateurs puissent retrouver l'accès sans affaiblir la sécurité.

L'absence de mot de passe est-elle difficile à adopter ou coûteuse ?

L'absence de mot de passe peut entraîner des coûts initiaux (infrastructure, intégration des utilisateurs, mise à disposition des appareils), mais ceux-ci sont souvent compensés par la réduction des réinitialisations de mot de passe, de la charge de travail du service d'assistance et des risques de sécurité.

Les utilisateurs trouveront-ils l'absence de mot de passe facile à utiliser ?

En général, oui. De nombreux utilisateurs trouvent les méthodes biométriques ou basées sur la pression plus faciles et plus rapides que les mots de passe. Cependant, l'éducation des utilisateurs et la fluidité des flux sont essentielles pour réduire les frictions.