L’authentification sans mot de passe n’est peut-être que la nouvelle méthode de sécurité. Aujourd’hui, presque tout ce que nous faisons en ligne nécessite un mot de passe, qu’il s’agisse de déverrouiller des appareils mobiles, d’effectuer des transactions bancaires ou d’accéder à des systèmes pour le travail.
Pour sécuriser les mots de passe, les utilisateurs sont désormais obligés d’utiliser plus de caractères pour leurs mots de passe et, plus important encore, de ne pas utiliser les mêmes mots de passe pour leurs comptes personnels, leurs comptes professionnels et leurs appareils, entre autres.
Cependant, la complexité de la mémorisation de plusieurs mots de passe continue d’être une épine dans le pied des entreprises et des consommateurs. De nombreux consommateurs préfèrent utiliser le même mot de passe pour tous leurs besoins d’authentification, tandis que les entreprises peuvent choisir d’utiliser des mots de passe sécurisés générés automatiquement comme méthode d’authentification à des fins professionnelles.
Le moment est venu d’adopter l’authentification sans mot de passe
Bien que cela ne soit pas entièrement nouveau, il existe de solides arguments en faveur de l’authentification à deux facteurs (ou plus récemment, de l’authentification multifacteur – MFA). Les plates-formes et les sites ajoutent de plus en plus cette fonctionnalité à leurs services en tant que couche de sécurité supplémentaire pour sécuriser les connexions et fournir une vérification supplémentaire pour l’accès des utilisateurs.
Non seulement les utilisateurs ont besoin de mots de passe, mais ils doivent également utiliser un autre code, fourni en temps réel, pour accéder à leurs comptes. Ces codes peuvent être envoyés par SMS, depuis un appareil physique ou par e-mail, entre autres.
Dans le secteur bancaire et financier, le MFA existe depuis longtemps. Pensez à votre code MSOS pour autoriser votre paiement par carte de crédit pour votre achat en ligne.
Cependant, malgré cela, les cybercriminels sont toujours capables de pirater des mots de passe et de compromettre des comptes, grâce à des techniques telles que l’achat sur le dark web, l’ingénierie sociale, l’hameçonnage, les escroqueries ou tout simplement le force brute. Dans de nombreux cas, les bases de données piratées contenant des mots de passe sont souvent vendues sur le dark web pour un joli centime.
Comme si cela ne suffisait pas, les vérifications par SMS peuvent être facilement piratées aujourd’hui tout en déchiffrant les mots de passe, ce qui simplifie grandement la vie des cybercriminels.
Les sites Web comme haveibeenpwned servent de service public pour fournir des détails si comptes de messagerie ont été compromis et vendus sur le dark web. Le site Web a révélé plusieurs fuites importantes de mots de passe, y compris ceux de grandes entreprises.
Plus tôt cette année, le Les réseaux informatiques des Nations Unies ont été piratés : des pirates se sont emparés d’une mine de données qui pourraient être utilisées pour cibler des agences au sein de l’organisation intergouvernementale. Apparemment, les pirates sont probablement entrés en utilisant le nom d’utilisateur et le mot de passe volés d’un employé de l’ONU achetés sur le dark web.
Authentification biométrique
Pour faire face à cela, l’authentification biométrique devient désormais le choix incontournable pour la vérification pour la plupart des organisations, couramment utilisée en conjonction avec l’authentification par mot de passe. Il existe plusieurs méthodes d’authentification biométrique disponibles aujourd’hui qui peuvent améliorer la sécurité des mots de passe.
Certaines méthodes d’authentification biométrique courantes incluent aujourd’hui la reconnaissance des empreintes digitales et faciale. La plupart des téléphones portables et ordinateurs portables nécessitent aujourd’hui une vérification des empreintes digitales pour y accéder, tandis que certains téléphones portables utilisent des scanners rétiniens.
Les entreprises adoptent également des fonctionnalités de sécurité à la fois pour les empreintes digitales et la reconnaissance faciale pour garantir que seules les bonnes personnes ont accès aux comptes et aux données de l’entreprise. La technologie d’authentification biométrique continue de s’améliorer depuis son introduction, avec davantage de cas d’utilisation générés pour cette méthode.
Poussée de Microsoft pour l’authentification sans mot de passe
Avec l’amélioration de la technologie biométrique, Microsoft a décidé de passer complètement sans mot de passe pour certains de ses produits et de combiner l’authentification sans mot de passe avec la biométrie pour les utilisateurs.
Selon Vasu Jakkal, vice-président d’entreprise pour la sécurité, la conformité et l’identité chez Microsoft, les utilisateurs peuvent désormais supprimer complètement le mot de passe de leur compte Microsoft.
« Utilisez l’application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé sur votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety et Suite. Cette fonctionnalité sera déployée au cours des prochaines semaines », a déclaré Jakkal dans un article de blog.
Jakkal a ajouté que les mots de passe faibles sont le point d’entrée de la majorité des attaques sur les comptes d’entreprise et grand public. Il y a 579 attaques de mots de passe par seconde, ce qui fait 18 milliards chaque année.
Mais à quel point l’authentification sans mot de passe est-elle sécurisée ?
TechHQ a contacté Kevin Reed, CTO chez Acronis pour connaître son point de vue sur les authentifications sans mot de passe. Bien que Reed pense que l’utilisation de l’authentification biométrique sans mot de passe augmente la sécurité de l’accès par rapport aux vérifications par SMS, les entreprises doivent encore prendre en compte certaines considérations avant de les appliquer.
« Le plus grand avantage de l’authentification biométrique est qu’elle ne peut pas être modifiée. Vous ne pouvez pas modifier vos empreintes digitales. Vous ne pouvez pas changer votre rétine. Les attaquants ne peuvent généralement pas compromettre un serveur et voler les données biométriques d’un serveur. Ils ne peuvent pas le faire car les données biométriques ne sont pas envoyées au serveur », a déclaré Reed.