La vérité sur l’authentification sans mot de passe

Qu’est-ce que l’authentification sans mot de passe et comment fonctionne-t-elle ?

Authentification sans mot de passe

L'authentification sans mot de passe est la nouvelle tendance en ce qui concerne l'authentification sécurisée. À juste titre. Les mots de passe restent une faiblesse pour les utilisateurs et les personnes qui tentent de sécuriser les données d'entreprise et des utilisateurs. En effet, 81 % des violations surviennent en raison de mots de passe faibles ou volés. Les mots de passe sont les principales cibles des cybercriminels.

Pour les services informatiques, les mots de passe représentent un fardeau, à différents égards. Tout d'abord, ils doivent stocker les mots de passe de façon sécurisée. Le cas contraire peut entraîner une violation de sécurité, ce qui peut avoir un impact considérable sur le bénéfice, la valeur des actions et la réputation de l'organisation pour les années à venir. Ensuite, lorsque vous êtes détenteur de mots de passe, vous devez également les prendre en charge. Cela implique bien souvent le traitement des réinitialisations de mot de passe qui envahissent les services d'assistance technique.

Les organisations ont donc de bonnes raisons de vouloir se débarrasser des mots de passe et passer à l'authentification sans mot de passe.

Principe de l'authentification sans mot de passe

L'authentification sans mot de passe est un type d'authentification à plusieurs facteurs qui remplace les mots de passe par un facteur d'authentification plus sécurisé, comme une empreinte digitale ou un code PIN. Grâce à l'authentification à plusieurs facteurs, deux ou plusieurs facteurs sont requis pour la vérification lors de la connexion.

L'authentification sans mot de passe repose sur les mêmes principes que les certificats numériques : une paire de clés de chiffrement composée d'une clé privée et d'une clé publique. Même si les deux sont appelées des clés, vous pouvez considérer que la clé publique est le cadenas et la clé privée la véritable clé qui déverrouille le cadenas. Il existe une seule clé pour le cadenas et un seul cadenas pour la clé.

Un individu qui souhaite créer un compte sécurisé utilise un outil (une application mobile, une extension de navigateur, etc.) pour générer une paire de clés publique-privée. La clé privée est stockée sur l'appareil local de l'utilisateur et est liée à un facteur d'authentification, comme une empreinte digitale, un code PIN ou la reconnaissance vocale. L'utilisateur peut uniquement y accéder de cette façon. La clé privée est fournie au site Web, à l'application, au navigateur ou à d'autres systèmes en ligne pour lequel l'utilisateur souhaite posséder un compte.

L'authentification sans mot de passe est un gage de liberté et de sécurité.

L'authentification sans mot de passe actuelle repose sur le standard FIDO2 (qui comprend les standards WebAuthn et CTAP). Grâce à ce standard, l'authentification sans mot de passe libère les services informatiques du fardeau que représente la sécurisation des mots de passe. Pourquoi ? Parce qu'en tant que fournisseur de services, vous stockez les clés publiques d'individus, qui sont par définition publiques. Comme avec un cadenas, si un pirate obtient la clé publique, elle est inutile sans la clé privée pour l'ouvrir. La clé privée, quant à elle, reste entre les mains de l'utilisateur final ou de l'employé d'une organisation.

Un autre avantage de l'authentification sans mot de passe, c'est que l'utilisateur peut choisir l'outil qu'il utilise pour créer les clés et s'authentifier. Il peut s'agir d'une application mobile comme OneLogin Protect. Il peut s'agir d'un appareil biométrique ou physique, comme YubiKey. L'application ou le site Web sur lequel l'utilisateur s'authentifie est agnostique. Peu lui importe la façon dont vous créez votre paire de clés et vous authentifiez.

En effet, c'est ce sur quoi repose l'authentification sans mot de passe. Par exemple, les navigateurs qui implémentent l'authentification sans mot de passe peuvent avoir téléchargé JavaScript lorsque vous consultez une page qui s'exécute sur votre ordinateur, mais ce script fait partie du site Web et ne stocke pas vos informations personnelles. Le script et le site Web ne sont pas sécurisés avec votre clé privée et c'est pourquoi ils ne représentent pas une surface d'attaque avantageuse pour les cyber-escrocs.

En tant que méthode d'authentification à plusieurs facteurs, l'authentification sans mot de passe continuera d'évoluer. La plupart des organisations utilisent toujours les mots de passe traditionnels comme méthode d'authentification principale. Cependant, les problématiques bien connues posées par les mots de passe pousseront les entreprises à passer à l'authentification à plusieurs facteurs et à l'authentification sans mot de passe.

Related Resources:

5 raisons pour lesquelles s'appuyer sur des mots de passe peut tourner à la catastrophe

Les mots de passe ne suffisent pas à protéger vos données d'entreprise. Nous vous expliquons pourquoi en cinq points.

En savoir plus

Comment l'authentification à plusieurs facteurs permet-elle d'éviter les cyberattaques courantes ?

Découvrez comment l'authentification à plusieurs facteurs peut éviter différents types de cyberattaques les plus courants.

Découvrir

À elles deux, l'authentification unique et l'authentification à plusieurs facteurs sécurisent les accès et offrent une solution au problème du mot de passe auquel est confronté le secteur technologique

Découvrez les raisons pour lesquelles la combinaison de l'authentification unique et de l'authentification à plusieurs facteurs est cruciale pour la protection de vos données d'entreprise et propriétés intellectuelles.

Télécharger le document

3 leçons que Game of thrones nous apprend au sujet de la cybersécurité

Existe-t-il des similitudes entre la défense de la garde de nuit et celle des équipes de cybersécurité dans le monde réel ? À vous d'en juger.

Lire le blogue