Article

L’authentification sans mot de passe : de quoi s’agit-il et comment ça marche

Access ManagementSecurity
Temps de lecture : 9 minutes

Qu’est-ce que l’authentification sans mot de passe

L’authentification sans mot de passe est une méthode d’authentification ou de vérification de l’identité qui a recours à la biométrie, aux certifications ou aux mots de passe ponctuels (ou « OTP », pour « one-time passeword »). Jugée plus sûre que les questions traditionnelles de sécurité du mot de passe ou que les codes d’identification personnalisé (PIN), l’authentification sans mot de passe renforce la sécurité, réduit le fardeau administratif et simplifie l’accès pour les utilisateurs. L’authentification sans mot de passe est couramment utilisée en même temps que l’authentification multifactorielle (MFA) ou que l’authentification unique (SSO).

Dans cet article, nous vous présentons cinq façons de renforcer la cybersécurité de l’entreprise par l’identité.

À la différence des moyens traditionnels d’authentification, qui peuvent être volés, partagés ou réutilisés, l’authentification sans mot de passe oblige les utilisateurs à vérifier leur identité avec un facteur dit « de possession » ou facteur inhérent. Un facteur de possession est quelque chose qui définit l’utilisateur en propre, et qu’il est le seul à posséder ; par exemple un appareil mobile immatriculé ou un jeton matériel publié. Les facteurs inhérents sont les empreintes digitales, les empreintes de pouce, de paume ou de main, la reconnaissance vocale et faciale, et les numérisations de la rétine ou de l’iris.

L’authentification sans mot de passe offre une alternative efficace aux mots de passe, qui sont couramment divulgués, devinés ou devinés par rétro-ingénierie. Le surcroît de sécurité protège contre de nombreux modes d’agression connus qui exploitent les failles de l’authentification par mot de passe.

Voici des modes d’attaque auxquels l’authentification sans mot de passe permet de résister :

  • Les agressions par la force brute
  • Le bourrage d’identifiants
  • Les attaques par dictionnaire
  • L’enregistrement de la frappe (ou « keylogging »)
  • Les attaques MitM (« man-in-the-middle »)
  • Le saupoudrage de mots de passe (ou « password spraying »)
  • Le hameçonnage (ou « phishing »)
  • Les attaques par tableau arc-en-ciel
  • Les attaques par la force brute inversée
  • Le smishing
  • Le harponnage (ou « spear phishing »)
  • Le vishing
  • Le whaling

Il y a d’autres avantages à l’authentification sans mot de passe, notamment sur les niveaux.

  • Les services d’assistance technique sont moins sollicités
  • Elle est plus commode pour l’utilisateur que l’authentification par mot de passe
  • Le coût total de possession est moins élevé et l’infrastructure moins lourde
  • La complexité de la pile d’identités est moindre
  • Les utilisateurs n’ont plus à devoir se rappeler d’un mot de passe

Les différents type d’authentification sans mot de passe

La biométrie

Elle utilise des scanners ultraperformants pour numériser et valider des éléments d’authentification biométriques tels que les empreintes digitales, les empreintes de pouce, de paume ou de main, la reconnaissance vocale et faciale, ainsi que des images numérisées de la rétine ou de l’iris, qui sont comparés à des données sauvegardées dans une base de données d’authentification.

La biométrie est tout particulièrement fiable dans l’authentification parce qu’il est statistiquement impossible de la répliquer ; par exemple, la probabilité que les attributs physiques de deux visages soient identiques est inférieure à une sur un billion, et celle que des empreintes digitales soient identiques est de une sur 64 billions.

Les jetons matériels

Un jeton matériel est un petit appareil électronique (par exemple un appareil de poche ou USB) qui génère un mot de passe ponctuel (OTP), qu’on appelle également jeton logiciel, chaque fois qu’un utilisateur l’active. Le code est entré dans le système pour authentifier l’utilisateur.

Les liens magiques

Un lien magique est un URL ponctuel envoyé par e-mail ou par texto pour vérifier l’identité des utilisateurs. Une application d’authentification en toile de fond compare l’appareil au jeton dans une base de données quand l’utilisateur clique sur le lien.

Les options natives

Les outils d'authentification sans mot de passe sont incorporés dans certaines applications ou systèmes, comme Google et Microsoft. Grâceà cette option dite « native » pour l'authentification sans mot de passe, les utilisateurs peuvent accéder aux codes de ces applications plutôt que d’utiliser les autres.

Les cookies persistants

Les cookies persistants sont stockés sur des appareils authentifiés. Ils mémorisent les identifiants de connexion. Quand les utilisateurs se sont identifiés, le cookie persistant sert à donner l’accès aux ressources d’après des permissions. Les cookies persistants peuvent demeurer en permanence sur les systèmes ou être paramétrés pour expirer après une durée prédéfinie.

Les cartes intelligentes

Les cartes intelligentes sont des cartes physiques qui sont numérisées par un lecteur pour authentifier des utilisateurs et leur donner l’accès aux ressources. La plupart de ces cartes conservent des données sur des puces et utilisent une identification RFID (Radio-Frequency IDentification) pour la connectivité.

Comment fonctionne l’authentification sans mot de passe

L’authentification sans mot de passe invite les utilisateurs à s’authentifier à l’aide de quelque chose qu’ils ont sur eux (par exemple une poche à jeton) ou quelque chose qu’ils possèdent en propre (par exemple leur empreinte digitale) afin de vérifier leur identité, avant qu’ils ne reçoivent la permission d’accéder aux ressources sécurisées. Il y a deux phases dans l’authentification : l’enregistrement et la vérification.

L’enregistrement de l’authentification sans mot de passe

  1. Lorsque les utilisateurs s’approchent d’une application ou d’un service pour la première fois, ils reçoivent une demande d’approbation de l’enregistrement qui utilise l’authentification sans mot de passe (par exemple par biométrie).
  2. Quand la demande est approuvée, une clé de chiffrement privée est produite pour l’utilisateur.
  3. La clé publique de chiffrement est envoyée à l’application ou au service.

Vérification de l’’authentification sans mot de passe

  1. Une question difficile est générée et envoyée sur l’appareil de l’utilisateur lorsqu’il essaie de se connecter.
  2. Il y répond en déverrouillant la clé personnelle au moyen de la méthode prédéterminée d’authentification sans mot de passe.
  3. La clé personnelle sert à élucider la question.
  4. Pour que l’accès soit accordé, la clé publique doit accepter la clé personnelle.

Sécurité des données et authentification sans mot de passe

L’authentification sans mot de passe atténue les failles courantes inhérentes aux mots de passe et renforce considérablementla sécurité des données des façons suivantes :

  • La satisfaction des clients peut être améliorée sans compromettre la sécurité des données.
  • La sécurité des données dans le cadre d’informations sensibles peut s’en trouver considérablement renforcée.
  • Et ce renforcement de la sécurité des données s’accompagne d’une grande sérénité pour l’utilisateur.
  • Le coût de la sécurité des données peut être réduit.

Authentification multifactorielle (MFA) ou authentification sans mot de passe ?

L’authentification sans mot de passe et l’authentification multifactorielle (MFA) sont souvent confondues et considérées comme des synonymes. Toutes les deux sont multifactorielles mais elles s’appuient sur des facteurs différents. Comme son nom l’indique, l’authentification sans mot de passe n’utilise pas de mots de passe, contrairement à la MFA, qui s’en sert pour la vérification de l’identité.

Mettre en œuvre l’authentification sans mot de passe

L’authentification sans mot de passe peut être implémentée de plusieurs façons mais les moyens les plus courants sont la biométrie, les jetons FIDO (Fast Identity Online Client, identification rapide en ligne) et les codes ponctuels.

  • La biométrie utilise des appareils équipés de capteurs biométriques.
  • Les jetons FIDO utilisent des appareils physiques qui générent des codés ponctuels.
  • Des liens magiques sont envoyés à l’adresse électronique ou au numéro de téléphone d’un utilisateur.
  • Des codes ponctuels transmettent des mots de passe à l’adresse électronique ou au numéro de téléphone d’un utilisateur.

Les organisations peuvent utiliser les uns ou les autres ou les combiner. Par exemple, ils peuvent utiliser un code ponctuel ou un jeton FIDO pour la vérification initiale de l’identité, puis la biométrie pour une authentification supplémentaire.

Voici les étapes qui servent à mettre en œuvre l’authentification sans mot de passe :

  1. Sélectionner le mode d’authentification (par exemple la biométrie, un jeton FIDO, des liens magiques, des codes ponctuels)
  2. Déterminer le nombre de facteurs à utiliser. L'utilisation de lusieurs facteurs es tconsidérée comme une pratique homologuée
  3. Acquérir et installer les systèmes informatiques, logiciels et matériels pour cette technologie.
  4. Enregistrer les utilisateurs sur le système d’authentification (par exemple numériser les visages de tous les salariés pour un système de reconnaissance faciale).

L’authentification sans mot de passe et l’authentification adaptative

Si les facteurs inhérents, les facteurs de possession ou les liens magiques sont difficile à pirater, il est possible de... Mais si l’on allie l’authentification sans mot de passe à l’authentification adaptative, on passe au niveau supérieur dans la sécurité des accès.

Grâce à l’intelligence artificielle, l’authentication adaptative rajoute une couche de protection à l’authentification sans mot de passe, qui a recours au machine learning pour définir des modèles de comportements types chez les utilisateurs. Tout écart par rapport à ces modèles indique la présence d’un risque et déclenche une réponse prédéfinie, par exemple, inviter l’utilisateur à une deuxième authentification ou bloquer le compte.

L’authentification sans mot de passe et la confiance zéro

Une stratégie de sécurité dite à « confiance zéro » suppose de supprimer la confiance quelle qu’elle soit. Cela implique d’en finir avec les mots de passe traditionnels pour l’authentification de l’identité qui, non seulement ne sont pas fiables et coûtent cher, mais qui ralentissent les programmes à confiance zéro. L’authentification sans mot de passe est une solution raisonnable en remplacement, car elle est conforme aux principes de la confiance zéro et comporte de nombreux avantages.

Atténuer les premiers vecteurs d’attaque

Tout le monde s’accorde à trouver que les mots de passe sont la principale porte d’entrée des violations de données . L’utilisation de l’authentification sans mot de passe atténue cette vulnérabilité.

À la différence des solutions de sécurité renforcée, l’authentification sans mot de passe est économique et facile à utiliser. Des organisations de toutes tailles et de toutes sortes ont réussi à la mettre en œuvre, et toute entreprise qui a des ressources numériques à protéger devrait envisager ce moyen.

Rapport de synthèse de Kuppingercole sur SailPoint Atlas

Rapport de synthèse de Kuppingercole sur SailPoint Atlas

Ce rapport de synthèse élaboré par le cabinet d'analystes indépendant KuppingerCole, fournit une vision d'ensemble de SailPoint Atlas, une solution de sécurité des identités combinant des technologies modernes telles que l'IA et l'apprentissage automatique.

Télécharger le rapport
Leadership Compass de KuppingerCole  pour la gouvernance des accès

Leadership Compass de KuppingerCole pour la gouvernance des accès

Découvrez pourquoi une note « fortement positive » a été discernée aux fonctionnalités IAG de SailPoint, indiquant notre capacité à fournir une solution IAG complète et bien étoffée.

Télécharger le rapport
L'approche manuelle de la gestion des identités des non-employés entraîne des problèmes de sécurité

L'approche manuelle de la gestion des identités des non-employés entraîne des problèmes de sécurité

Obtenez des informations sur l'accès des non-employés et des non humains aux applications, aux systèmes et aux données, et sur les types de problèmes de sécurité qui peuvent survenir.

Télécharger le rapport