Pourquoi l'avenir est sans mot de passe (et comment commencer)
Agence web » Actualités du digital » Pourquoi l’avenir est sans mot de passe (et comment commencer)

Pourquoi l’avenir est sans mot de passe (et comment commencer)

Vous en avez assez de vous souvenir ou de gérer de longues listes de mots de passe ? Bonne nouvelle : l’avenir est sans mot de passe. Vous pourrez peut-être même passer sans mot de passe (ou presque) pour certains services que vous utilisez déjà en ce moment.

Que signifie « sans mot de passe » ?

Une connexion sans mot de passe supprime le besoin de fournir un mot de passe, que ce soit un mot de passe dont vous vous souvenez ou que vous gardez une trace dans un gestionnaire de mots de passe. Vous devrez toujours vous souvenir d’un identifiant comme un nom d’utilisateur ou une adresse e-mail, mais vous prouverez votre identité par d’autres moyens.

Il existe divers degrés d’implémentations sans mot de passe. L’objectif final pour beaucoup est de supprimer complètement les mots de passe, ce qui signifierait qu’il n’est pas du tout possible de se connecter avec un mot de passe. Certaines approches déjà en place vous permettent de vous connecter avec un mot de passe en option, tout en vous permettant de vérifier votre identité par d’autres moyens.

Pour se débarrasser des mots de passe, différentes méthodes sont utilisées pour vérifier que vous êtes bien qui vous prétendez être. Il peut s’agir d’une application d’authentification mobile à laquelle vous seul avez accès, de données biométriques telles qu’une empreinte digitale ou d’un scan facial, un appareil physique réel tel qu’une carte-clé ou une clé USB, ou des approches moins sécurisées telles que des codes SMS ou e-mail.

Clé USB argentée en forme de clé

Vous devrez peut-être utiliser plusieurs méthodes pour prouver votre identité. L’authentification à deux facteurs a démontré l’importance d’une approche à plusieurs volets et, selon l’approche adoptée par le service auquel vous essayez d’accéder, cela peut toujours être vrai dans un futur sans mot de passe.

Des progrès ont été réalisés dans le déploiement des connexions sans mot de passe grâce à de nouvelles normes telles que l’authentification Web (WebAuthn). Cette approche élimine le besoin de stocker des données biométriques telles que des empreintes digitales ou des ressemblances faciales sur un serveur central, ce qui pourrait avoir des impacts dévastateurs sur la sécurité que même une violation de mot de passe ne peut égaler.

L’authentification Web permet aux données sensibles de rester sur votre appareil, tandis que seule une clé est envoyée au serveur. La vérification a lieu localement sur votre appareil, qui est ensuite vérifiée à l’aide d’une clé publique sur le serveur. Cela supprime le besoin de protéger les informations secrètes sur un serveur (comme un mot de passe) car le secret n’a besoin d’exister que sur votre appareil local.

EN RELATION: Pourquoi vous ne devriez pas utiliser les SMS pour l’authentification à deux facteurs (et quoi utiliser à la place)

Quels avantages y a-t-il à devenir sans mot de passe ?

L’un des plus grands avantages du sans mot de passe est la simplicité. Alors que la plupart des gens se sont déjà adaptés à l’utilisation des gestionnaires de mots de passe, certains mots de passe (comme les mots de passe principaux) doivent encore être conservés dans votre tête. Après tout, vous ne pouvez pas stocker le mot de passe de la base de données dans la base de données qui contient vos mots de passe.

En devenant sans mot de passe, vous pouvez à la place vérifier votre identité sans avoir à vous souvenir de quoi que ce soit. Vous devrez peut-être vous authentifier avec une application mobile ou scanner votre visage ou votre empreinte digitale, et c’est tout.

Tout le monde n’utilise pas un gestionnaire de mots de passe, même s’ils le devraient. Certains s’appuient toujours sur l’approche du « petit livre noir », tandis que d’autres n’utilisent pas de mots de passe uniques pour chaque nouveau service auquel ils s’inscrivent. Alors que certains services nécessitent une authentification à deux facteurs, beaucoup ne le font pas.

Un livre pour vos mots de passe et logins internet (ne pas acheter ça)

Jetez un œil à Have I Been Pwned pour voir combien de violations de données ont été associées à votre adresse e-mail et vous comprendrez rapidement pourquoi tant de personnes cherchent désespérément à débarrasser le monde des mots de passe.

En supprimant entièrement les mots de passe, vous supprimez un point de faiblesse dans la sécurité des comptes. Cela ne se fera pas du jour au lendemain, et il faudra du temps pour que beaucoup se réconcilient avec un avenir qui utilise des méthodes alternatives de vérification. Le monde des affaires adopte déjà des solutions comme YubiKey, car les coûts associés aux violations de mots de passe peuvent être très élevés.

Clé de sécurité professionnelle

Ce coût ne signifie pas toujours de l’argent non plus. De nombreux services, comme les banques et les fonds de pension, exigent que vous procédiez à la réinitialisation des mots de passe par téléphone ou même par courrier. Cela prend du temps à la fois pour la banque et pour le client. Les solutions sans mot de passe ne seront pas toujours exemptes de frictions, mais elles accordent moins d’importance à l’utilisateur final pour qu’il se souvienne ou protège une chaîne arbitraire de chiffres, de symboles et de lettres.

EN RELATION: Comment sécuriser vos comptes avec une clé U2F ou YubiKey

Quels services vous permettent de travailler sans mot de passe ?

Au moment de la rédaction en novembre 2021, seul Microsoft vous permet de passer totalement sans mot de passe. Cela signifie que vous pouvez supprimer complètement votre mot de passe de votre compte et utiliser les services de Microsoft, notamment Xbox, Microsoft 365 et Windows, sans avoir à saisir ou coller un mot de passe.

Vous pouvez le faire en téléchargeant l’application Microsoft Authenticator pour Android ou iOS, puis en vous connectant à votre compte Microsoft dans un navigateur Web. Une fois connecté, sélectionnez « Options de sécurité avancées », puis faites défiler jusqu’à Sécurité supplémentaire et cliquez sur « Activer » à côté de l’option pour un compte sans mot de passe.

Option de compte sans mot de passe de Microsoft

Dans le cadre du processus, vous serez invité à enregistrer des codes de sauvegarde que vous pourrez utiliser pour vous connecter à votre compte Microsoft si vous perdez l’accès à l’application Microsoft Authenticator. Vous pouvez toujours revisiter le site Web des options de sécurité de Microsoft et désactiver la fonctionnalité, qui restaure la connexion par mot de passe à votre compte à une date ultérieure.

Google se dirige également vers un avenir sans mot de passe, la société annonçant en mai 2021 qu’elle « crée un avenir où un jour vous n’aurez plus besoin de mot de passe ». Si vous avez un appareil Android, vous pouvez utiliser votre smartphone pour vous connecter sur le Web, connectez-vous simplement à votre compte Google, appuyez sur « Sécurité » puis sélectionnez « Configurer » à côté de Utiliser votre téléphone pour vous connecter.

Apple a également pris des mesures pour implémenter des connexions sans mot de passe sur le Web dans Safari avec iOS 15 et macOS 12, sortis fin 2021. La nouvelle fonctionnalité « clés de passe dans iCloud Keychain » est désormais disponible pour que les développeurs commencent à tester, bien que rien ne soit prêt ou accessible. dans les constructions grand public pour l’instant.

Garret Davidson d’Apple a expliqué lors d’une session WWDC 2021 comment son approche exploite WebAuthn en utilisant une paire de clés publiques et privées :

Avec des paires de clés publiques/privées, au lieu d’un mot de passe, votre appareil crée une paire de clés. L’une de ces clés est publique ; tout aussi public que votre nom d’utilisateur. Il peut être partagé avec n’importe qui et tout le monde, et ce n’est pas un secret. L’autre clé est privée… lorsque vous créez un compte, votre appareil génère ces deux clés associées. Il partage ensuite la clé publique avec le serveur.

Désormais, le serveur dispose d’une copie de la clé publique… la clé privée reste sur votre appareil, et seul cet appareil est responsable de sa protection. Plus tard, lorsque vous souhaitez vous connecter, vous n’envoyez rien de secret au serveur. Au lieu de cela, vous prouvez qu’il s’agit de votre compte en prouvant que votre appareil connaît la clé privée associée à la clé publique de votre compte.

En clair : votre appareil utilise la clé publique pour vérifier, localement sur votre appareil, que vous êtes bien celui que vous prétendez être en « signant ». Étant donné que seule votre clé privée peut produire une signature valide, seul un appareil qui connaît votre clé privée peut réussir le test. Le serveur vérifie ensuite votre signature par rapport à la clé publique et décide s’il vous accorde l’accès.

Exemple WebAuthn dans la session Apple WWDC 2021

Il s’agit d’un aperçu de base du fonctionnement de WebAuthn et de la façon dont Apple a l’intention de l’utiliser pour remplacer les mots de passe sur ses appareils lorsqu’il est associé à des technologies telles que la reconnaissance faciale et les analyses d’empreintes digitales.

Vous pouvez déjà désactiver les exigences de mot de passe pour les paiements Apple Pay, les connexions d’appareils et les téléchargements App Store sur votre iPhone, iPad et Mac, mais cela va encore plus loin dans la même approche et l’étend à d’autres services.

Une approche sans mot de passe n’est pas parfaite

Aucune solution n’est parfaite, infaillible ou totalement infaillible. Vous pourriez perdre l’accès à un appareil ou laisser quelque chose de connecté qui pourrait mettre vos comptes en danger. Même Face ID et Touch ID peuvent être exploités sur des individus endormis ou inconscients, ou en créant des fac-similés réalistes des données biométriques qu’ils recherchent.

EN RELATION: Comment les Deepfakes alimentent un nouveau type de cybercriminalité

Le plus grand obstacle sera peut-être l’adoption et le fait de convaincre la plupart des gens qu’il vaut mieux abandonner leurs mots de passe au profit d’une nouvelle façon de faire les choses.

Mais une solution imparfaite n’est pas une raison pour la rejeter complètement. Les mots de passe sont obsolètes et peu pratiques, et il est temps de passer à autre chose. L’authentification à deux facteurs n’est pas parfaite non plus, mais il y a des raisons pour lesquelles des entreprises comme Apple (et bientôt Google) l’exigent.

Il en va de même pour les gestionnaires de mots de passe. Découvrez pourquoi l’utilisation de votre navigateur Web comme gestionnaire de mots de passe peut être une mauvaise idée.

★★★★★