peshkov - stock.adobe.com

Comment commencer à adopter l’authentification sans mot de passe

Tout le monde est fatigué des mots de passe, mais un monde véritablement sans mot de passe n’existe pas encore. Plusieurs options s’offrent toutefois déjà aux entreprises pour mettre en œuvre l’authentification sans mot de passe.

Il n’est pas difficile de comprendre pourquoi l’authentification sans mot de passe gagne du terrain. Les mots de passe constituent une vulnérabilité majeure en matière de sécurité et une cause majeure d’intrusions et de compromission de données. Selon l’édition 2021 du Data Breach Investigations Report de Verizon, 89 % des brèches dans les applications Web impliquaient un détournement d’identifiants.

Il n’est pas encore possible d’éliminer complètement les mots de passe, mais il existe des méthodes d’authentification sans mot de passe – aussi dites passwordless, en anglais – que les entreprises peuvent déployer dès aujourd’hui. Ces options peuvent contribuer à réduire la dépendance aux mots de passe et, dès lors, à réduire l’utilisation de données d’authentification comme vecteur d’attaque.

Options d’authentification sans mot de passe

Les entreprises peuvent envisager les méthodes d’authentification sans mot de passe suivantes :

  • Basée sur le courrier électronique. Les utilisateurs reçoivent un code d’accès temporaire à usage unique par courrier électronique pour se connecter à leur compte. Une URL contenant le code, ou le jeton intégré peuvent être inclus pour accélérer le processus et le rendre plus fluide pour les utilisateurs.
  • Basée sur WebAuthn. L’API WebAuthn s’appuie sur quelque chose que les utilisateurs possèdent plutôt que sur ce qu’ils connaissent pour l’authentification. Grâce à la cryptographie à clé publique, un dispositif de confiance – tel qu’un smartphone, un ordinateur portable ou une clé de sécurité – sert de facteur d’authentification.
  • Basée sur la biométrie. L’authentification biométrique s’appuie sur les caractéristiques physiques ou comportementales des utilisateurs pour vérifier leur identité. Des appareils dotés de caméras avancées, de microphones de haute qualité ou de lecteurs d’empreintes digitales déterminent que les utilisateurs sont bien ceux qu’ils prétendent être.
  • Une combinaison de méthodes. Utilisez WebAuthn et la biométrie, par exemple, pour permettre une approche d’authentification en couches. Les scans biométriques authentifient les utilisateurs sur un appareil, puis la génération de jetons WebAuthn fournit une authentification supplémentaire.

Meilleures pratiques de mise en œuvre

Lors de la création d’une stratégie sans mot de passe, gardez à l’esprit ces meilleures pratiques pour réussir :

  1. Passez en revue les processus d’authentification en place. Faites un inventaire des façons dont votre organisation authentifie les utilisateurs aujourd’hui. Comprenez les méthodes d’authentification existantes avant de commencer à déterminer ce qui peut être remplacé par une authentification sans mot de passe.
  2. Mettez en place un programme bêta. Déployez des méthodes d’authentification sans mot de passe auprès de petits groupes de test. Les participants doivent représenter une communauté diversifiée en termes de rôles professionnels, de démographie et de fonctions métiers.
  3. Évaluez le retour d’information du programme bêta. Après la période de test, recueillez les avis des participants afin de déterminer si la stratégie d’authentification sans mot de passe était efficace et efficiente ou si elle doit être ajustée.

En outre, gardez les points suivants à l’esprit lorsque votre entreprise s’engage dans un triple changement d’état d’esprit, de technologie et de posture de risque en adoptant l’authentification sans mot de passe :

  1. Soyez patient avec les utilisateurs. Attendez-vous à une augmentation des demandes du service d’assistance, des commentaires sur Slack et d’autres canaux internes, et des utilisateurs qui cherchent des moyens de contourner le sans mot de passe. L’inertie et le niveau de confort avec les schémas basés sur les mots de passe peuvent entraîner un repli initial. Soyez proactif avec des vidéos amusantes et des simulations d’attaques de phishing, et recrutez des employés qui sont des influenceurs pour devenir des évangélistes du sans mot de passe.
  2. Sensibilisez à la protection de la vie privée. La réglementation et les consommateurs accordent une grande importance à la protection de la vie privée. Il est important de prendre conscience de l’augmentation du volume des données des employés, des sous-traitants et des partenaires qui sont stockées et accessibles. La biométrie, y compris les empreintes digitales, les scans faciaux et les scans rétiniens – ainsi que leur extension aux appareils personnels – augmente soudainement l’empreinte de l’entreprise en matière de confidentialité et de sécurité. Il est donc essentiel de sensibiliser les utilisateurs, de procéder à des évaluations régulières des risques et de garantir la conformité.
  3. Pensez à la maîtrise des coûts. Comme pour tout projet, il est essentiel de respecter le budget prévu. Dans le cas particulier d’un système sans mot de passe, la gestion des applications existantes et de leurs spécificités peut entraîner une augmentation des coûts. Gardez également à l’esprit l’adoption de nouvelles technologies – telles que les drones, les robots et les systèmes métavers – pour lesquelles le sans mot de passe devra fonctionner à l’avenir. Prévoyez et estimez ces cas d’utilisation pour l’avenir.

Le sans mot de passe offre aux entreprises un moyen fiable et moins risqué d’authentifier les utilisateurs par rapport à un système basé sur un mot de passe. Les organisations qui l’adopteront précocement deviendront plus sûres si les facteurs ci-dessus sont pris en compte.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)