Est-il temps de passer à l’authentification sans mot de passe ? Pourquoi les mots de passe sont en voie de disparition
L’authentification sans mot de passe a connu une croissance constante ces dernières années. Les nouvelles technologies et l’augmentation des cyberattaques ont incité les leaders de la technologie de l’informatique et les consommateurs à envisager le passage à l’authentification sans mot de passe.
La part de marché globale des outils d’authentification sans mot de passe reflète bien la tendance croissante à abandonner les mots de passe. Le marché de l’authentification sans mot de passe devrait passer de 12,8 milliards de dollars US en 2021 à 53 milliards de dollars US en 2023, soit un taux de croissance annuel moyen impressionnant de 16,7 %.
En outre, les consommateurs commencent à voir comment ils peuvent cesser de se souvenir en maintenant la sécurité grâce aux technologies sans mot de passe. Une étude récente a révélé que 61 % des consommateurs sont prêts à utiliser des méthodes de connexion sans mot de passe, dont 45 % des personnes interrogées indiquant qu’elles sont très à l’aise avec l’utilisation de méthodes sans mot de passe.
Pendant des décennies, les leaders de la technologie de l’informatique et les consommateurs se sont appuyés sur les mots de passe pour sécuriser les identités, mais il est désormais possible de les abandonner.
Est-il temps pour votre organisation de passer à l’ère du sans-mot de passe ? Qu’entend-on exactement par « sans mot de passe » et qu’est-ce que cela implique ? Poursuivez votre lecture pour en savoir plus sur cette nouvelle pratique d’authentification et sur la manière dont votre entreprise peut la mettre en œuvre.
Qu’est-ce précisément l’authentification sans mot de passe ?
L’authentification sans mot de passe est un terme générique désignant toute technologie ou tout processus permettant aux utilisateurs de se connecter à l’aide d’un facteur de forme autre que le mot de passe. Les organisations peuvent choisir le meilleur facteur d’authentification en fonction de leurs besoins et de la commodité des consommateurs, ou en utiliser plusieurs.
La gestion des identités et des accès (GIA) est un cadre général axé sur la gestion de la manière dont les utilisateurs ou les clients accèdent aux ressources et sur ce qu’ils peuvent y faire. Par conséquent, l’absence de mot de passe est une tendance fondamentale qui façonne l’avenir de la GIA.
Le sans mot de passe utilise un processus avec lequel de nombreux utilisateurs sont déjà familiarisés ; cependant, la mise en œuvre au niveau informatique peut constituer un défi. Cependant, lorsqu’elle est effectuée correctement, la transition vers cette nouvelle méthodologie d’authentification peut offrir des avantages considérables tant pour les utilisateurs que pour les entreprises.
Le sans mot de passe est-il encore sécurisé ?
Prenons un peu de recul : pourquoi utilisons-nous des mots de passe ? Il s’agit d’une forme d’authentification qui permet de sécuriser les comptes et les ressources de l’entreprise. L’authentification est toute méthode qui valide un utilisateur en tant que propriétaire de l’identité qu’il tente d’utiliser.
L’authentification est une question de sécurité ; elle ne dépend pas en soi des mots de passe. L’authentification sans mot de passe utilise de nouvelles technologies et de nouveaux processus pour offrir une sécurité identique, voire supérieure, à celle des mots de passe. Le passage à l’authentification sans mot de passe offre également aux clients et aux employés une expérience d’authentification sans friction qui laisse de côté les réinitialisations de mot de passe.
Authentification multifactorielle ou sans mot de passe ?
Une idée fausse très répandue à propos de l’authentification sans mot de passe est qu’il s’agit d’une nouvelle façon de décrire l’authentification multifactorielle. Cependant, l’authentification multifactorielle est une pratique d’authentification spécifique ; ce n’est pas la même chose que de se passer de mot de passe. En fait, 72 % des leaders de la technologie de l’informatique indiquent que les mots de passe font partie intégrante de leurs stratégies d’authentification multifactorielle.
L’authentification multifactorielle est un processus qui permet d’accroître la confiance dans le fait qu’une tentative de connexion est effectuée par un utilisateur autorisé. De nombreuses organisations utilisent l’authentification multifactorielle dans le cadre de leur processus d’authentification sans mot de passe, mais il ne s’agit pas d’équivalents.
Qu’est-ce qui permet l’authentification sans mot de passe ?
Qu’est-ce que précisément, permet aux entreprises de faire des mots de passe une relique du passé ? Tout d’abord, examinons les facteurs d’authentification et les nouvelles technologies qui sous-tendent le passage à l’authentification sans mot de passe.
Trois facteurs d’authentification généraux
Les mots de passe ne constituent que l’une des trois catégories principales de facteurs d’authentification. Ces catégories, qui couvrent un large éventail de possibilités, sont les suivantes
- Facteurs d’inhérence : Un élément inhérent à l’identité de l’utilisateur, tel que la reconnaissance faciale, les empreintes digitales, les empreintes vocales ou tout autre élément biométrique, constitue un défi majeur à la falsification.
- Facteurs de possession : Quelque chose que vous possédez, comme une clé RSA, l’accès à votre adresse courriel ou votre téléphone intelligent. Bien que des personnes malveillantes puissent toujours les obtenir, il est beaucoup plus difficile de le faire.
- Facteurs de connaissance : Quelque chose que vous connaissez, comme des mots de passe, des identifiants ou des réponses à des questions de sécurité. Ces facteurs sont plus faciles à deviner ou à forcer que les autres.
Vous pouvez constater que les deux premiers facteurs n’ont été rendus possibles que grâce aux technologies récentes. Dans le passé, les facteurs de connaissance étaient essentiellement la seule option. Aujourd’hui, nous disposons d’une série d’outils pour améliorer les processus d’authentification.
Identité rapide en ligne : Fast Identity Online (FIDO) : La clé de l’authentification sans mot de passe
FIDO est une technologie fondamentale qui sous-tend les facteurs d’authentification sans mot de passe. L’examen du processus global montre en quoi il diffère des mots de passe :
- L’utilisateur est invité à utiliser un facteur d’authentification FIDO, tel qu’un lecteur d’empreintes digitales ou un dispositif de second facteur
- L’utilisateur déverrouille ensuite l’authentificateur, ce qui génère une paire de clés publique et privée unique
- L’utilisateur se connecte ensuite au service en utilisant le même facteur que celui qu’il a choisi lors de l’enregistrement initial
- Enfin, l’appareil de l’utilisateur vérifie que les paires de clés publiques/privées correspondent et connectent l’utilisateur
Il convient de souligner que la première étape peut toujours être un mot de passe plutôt qu’un autre facteur d’authentification. Toutefois, de nombreux clients et employés sont déjà familiarisés avec ce processus, de sorte que le remplacement du mot de passe par un autre facteur permettra d’améliorer l’expérience de l’utilisateur.
De plus, la procédure décrite ci-dessus est une vue d’ensemble et peut être modifiée par l’ajout de facteurs d’authentification supplémentaires si nécessaire. Pour renforcer la sécurité, vous pouvez également prendre en compte des facteurs contextuels, tels que l’adresse IP, l’appareil ou l’heure.
Types spécifiques d’authentification sans mot de passe
Quelles sont les méthodes spécifiques pour gérer la première étape de notre processus FIDO ? L’authentification sans mot de passe utilise des facteurs de possession ou des facteurs inhérents, laissant de côté les facteurs de connaissance.
- Biométrie : La plupart des téléphones intelligents sont équipés de lecteurs d’empreintes digitales, de microphones et d’appareils photo qui déverrouillent trois formes de biométrie. Une organisation peut même utiliser les trois en fonction du niveau de sécurité dont elle a besoin.
- Liens magiques : Vous utilisez peut-être déjà des liens magiques dans le cadre de votre flux de travail d’authentification multifactorielle actuel, en conjonction avec les mots de passe. Cependant, les liens magiques peuvent également être une option autonome sans mot de passe nécessitant la possession de l’adresse courriel du compte.
- Facteurs de possession supplémentaires : Les clés RSA ou les téléphones intelligents doivent être physiquement en possession de l’utilisateur pour les autres types d’authentification sans mot de passe. Il est donc très difficile pour un utilisateur malveillant de les obtenir.
Vous pouvez combiner plusieurs de ces options sans mot de passe pour sécuriser les ressources informatiques et les comptes des clients. Aucune d’entre elles ne nécessite de mot de passe, à l’exception du mot de passe du compte de messagerie tiers de l’utilisateur, qui échappe à votre contrôle et à votre responsabilité.
Il est facile de comprendre pourquoi et comment les organisations passent à l’authentification sans mot de passe. Nombre de ces facteurs d’authentification sont déjà utilisés en conjonction avec les mots de passe ; il ne reste plus qu’à remplacer les facteurs de connaissance et à s’assurer que tous les systèmes sont correctement configurés et sécurisés.
Avantages du passage à l’authentification sans mot de passe
Pourquoi les entreprises de tous les secteurs passent-elles à l’authentification sans mot de passe ? Bien que nous ayons abordé certains des avantages, explorons d’autres raisons pour lesquelles l’authentification sans mot de passe est de plus en plus populaire.
Amélioration de la sécurité
Une étude récente a révélé que 80 % des violations impliquent la compromission des mots de passe, soit en utilisant des attaques par force brute, soit en exploitant des identifiants de connexion volés. L’authentification sans mot de passe élimine ces deux possibilités.
Il est difficile d’imiter la voix ou l’empreinte digitale d’une personne ou de s’emparer physiquement de son téléphone intelligent. Bien que ces deux possibilités ne soient pas impossibles, elles sont nettement plus difficiles à mettre en œuvre que l’exécution d’un programme de force brute ou l’hameçonnage de mots de passe.
La sécurité est en fin de compte le principal moteur du passage au sans mot de passe. Les comptes d’utilisateurs et les ressources informatiques auxquelles ils peuvent accéder ne seront pas susceptibles de faire l’objet de violations de données basées sur des mots de passe – ce qui représente une réduction significative des risques.
Amélioration de l’expérience utilisateur et stimulation de la productivité
En moyenne, un individu a plus de 100 mots de passe à gérer, ce qui fait des solutions sans mot de passe un indispensable pour la GIAC. Se souvenir du mot de passe à utiliser est frustrant, et beaucoup d’entre nous ont l’habitude de réinitialiser leur mot de passe pour des plateformes auxquelles ils accèdent rarement. Le fait de donner à vos clients un mot de passe de moins à gérer réduit considérablement les frictions et améliore la satisfaction des clients.
Cet avantage s’étend également à vos employés. Par exemple, appeler le service informatique pour réinitialiser un mot de passe ou trois mots de passe différents pour accéder à un système critique est frustrant et prend du temps. Le passage à un système sans mot de passe supprime entièrement ces processus, ce qui permet à vos employés de se concentrer sur les tâches qui contribuent réellement à votre entreprise.
Diminution des coûts informatiques
Le passage à un système sans mot de passe peut avoir un impact notable sur vos coûts informatiques. Vous devrez probablement faire face aux dépenses initiales liées aux nouvelles technologies, ainsi qu’aux dépenses de test et de déploiement. Toutefois, vous pourriez constater une réduction des dépenses informatiques à long terme.
Les appels de réinitialisation des mots de passe appartiendront au passé et, pour de nombreux services d’assistance, il s’agit du type de demande le plus courant. Cependant, au lieu de réinitialiser les mots de passe, votre service d’assistance pourra consacrer plus de temps à la résolution de problèmes plus complexes ou bénéficier d’une formation polyvalente dans d’autres services qui ont un impact plus important.
En outre, pensez aux ressources informatiques consommées chaque fois qu’une personne utilise un portail de réinitialisation de mot de passe en libre-service. Selon la taille de votre organisation, l’élimination de cette consommation de ressources peut faire une différence notable.
Réduire le piratage de compte
Le piratage de compte, également connu sous le nom de fraude à la prise de contrôle de compte ou Account Takeover Fraud (ATO) vise principalement les institutions financières, mais peut affecter un compte d’utilisateur dans n’importe quel secteur d’activité. Le piratage de compte implique généralement une combinaison d’ingénierie sociale et d’hameçonnage et permet à un utilisateur malveillant de prendre le contrôle total d’un compte d’utilisateur.
Le passage à l’authentification sans mot de passe complique considérablement la tâche des auteurs d’attaques de fraude à la prise de contrôle de compte. Cette amélioration de la sécurité est due au fait que l’attaquant aura besoin de la possession physique d’un appareil ou des données biométriques de l’utilisateur pour prendre le contrôle du compte au lieu d’un mot de passe ou d’autres informations faciles à obtenir.
Nous nous concentrons sur la fraude à la prise de contrôle de compte, mais de nombreux autres types de fraudes rendues possibles par l’ingénierie sociale et le phishing peuvent également être réduits de la même manière en passant à l’accès sans mot de passe.
Comment mettre en œuvre l’authentification sans mot de passe dans votre entreprise
La mise en œuvre de l’authentification sans mot de passe dans votre entreprise peut être complexe, mais elle n’est pas hors de portée. Voici un aperçu général du processus :
- Choisissez les facteurs d’authentification idéaux : Quel facteur devrait remplacer les mots de passe ? Nous avons exploré quelques options différentes ci-dessus, en considérant celle qui conviendra le mieux à vos utilisateurs, à votre sécurité et à vos frais d’exploitation.
- Combien de facteurs devriez-vous utiliser ? Le passage à l’authentification sans mot de passe ne signifie pas que l’on abandonne l’authentification multifactorielle. Combien de facteurs d’authentification devez-vous utiliser pour valider l’identité d’un utilisateur ? En outre, n’oubliez pas que vous pouvez utiliser plus de facteurs pour les comptes privilégiés que pour les comptes d’utilisateurs standard. Élaborez vos nouveaux processus en mettant l’accent sur la sécurité et la facilité d’utilisation.
- Investir dans les bonnes technologies : Il est possible que vous disposiez déjà du matériel et des logiciels adéquats pour passer à un système sans mot de passe. Cependant, la plupart des organisations devront investir dans de nouveaux systèmes permettant de mettre en œuvre le processus FIDO. Commencez par trouver les bons fournisseurs pour répondre à vos besoins et développez à partir de là.
- Provisionner les utilisateurs et déployer : Une fois que tout est en place, commencez à provisionner un groupe test d’utilisateurs et évaluez soigneusement le processus. Ne faites pas l’impasse sur l’assurance qualité et les tests de sécurité ; vous risqueriez de créer encore plus de vulnérabilités. Une fois que vous avez confiance dans le groupe de test, procédez à un déploiement progressif du nouveau processus d’authentification sans mot de passe dans l’ensemble de votre organisation.
Attention au fait qu’une mauvaise mise en œuvre peut entraîner un afflux d’appels au service informatique ou introduire de nouveaux risques de sécurité. Par conséquent, une mise en œuvre planifiée et prudente de vos technologies sans mot de passe est nécessaire pour tirer profit de l’initiative.
Laissez Indigo Consulting vous guider dans le passage à l’authentification sans mot de passe
Le passage à l’authentification sans mot de passe peut apporter des avantages considérables à l’ensemble de votre organisation. Vous éliminerez un vecteur d’attaque courant, offrirez une meilleure expérience utilisateur et réduirez les coûts.
Cependant, une mauvaise mise en œuvre de l’authentification sans mot de passe peut également créer des problèmes. Investissez dans les bonnes technologies, créez de nouveaux processus et procédez par étapes pour éviter ces problèmes.
Indigo Consulting est un leader dans le domaine de la GIA, y compris l’authentification sans mot de passe. Nous sommes prêts à vous aider à adopter l’authentification sans mot de passe de manière à soutenir votre organisation.
Est-il temps de passer à l’authentification sans mot de passe ou de commencer à préparer le terrain ? Contactez Indigo Consulting dès aujourd’hui pour parler à un expert en GIA et découvrir comment nous pouvons vous aider.