La sécurité basée sur un mot de passe est un oxymore. Avec plus de 15 milliards de qualifications exposées divulguées sur le dark web et 54 % des incidents de sécurité provoqués par le vol d’informations d’identification, les mots de passe ne sont tout simplement pas efficaces pour empêcher les étoiles à risque d’entrer.
L’exploitabilité étendue des mots de passe a en fait conduit une série de fournisseurs, dont Google, Microsoft, Okta et LastPass, à adopter des choix d’authentification sans mot de passe dans le cadre de l’alliance FIDO.
Conformément à cette vision sans mot de passe, Google a révélé aujourd’hui qu’il apporte des clés de sécurité à Chrome et Android, permettant aux utilisateurs de développer et d’utiliser des clés de sécurité pour se connecter dans les gadgets Android. Les utilisateurs peuvent enregistrer des clés d’accès sur leurs téléphones et ordinateurs, et les utiliser pour se connecter sans mot de passe.
Pour les entreprises, l’introduction de clés d’accès dans l’écosystème Chrome et Android rendra beaucoup plus difficile pour les cybercriminels de pirater leurs systèmes.
Arrêter le vol d’informations d’identification avec des clés d’accès
Cette déclaration intervient après qu’Apple, Google et Microsoft se sont consacrés à élargir l’assistance pour la connexion de base sans mot de passe produite par l’Alliance FIDO et le Consortium Web en mars de cette année.
Cette évolution vers l’authentification sans mot de passe est une reconnaissance de l’inefficacité essentielle de la sécurité basée sur un mot de passe. Les utilisateurs devant gérer les mots de passe de dizaines de comptes en ligne, la réutilisation des informations d’identification est inévitable.
Selon SpyCloud, après avoir analysé 1,7 milliard de combinaisons de nom d’utilisateur et de mot de passe, la société a découvert que 64 % des personnes utilisaient exactement le même mot de passe exposé lors d’une violation pour d’autres comptes.
La suppression des mots de passe minimise entièrement la probabilité de vol d’informations d’identification et diminue l’efficacité des efforts d’ingénierie sociale.
Diego Zavala, responsable des articles chez Android ; Christian Brand, gestionnaire d’articles chez Google ; Ali Naddaf, ingénieur d’application logicielle chez Identity Ecosystems ; et Ken Buchanan, ingénieur en applications logicielles chez Chrome, dont il est question dans l’article de la déclaration, « les clés de passe sont un remplacement beaucoup plus sûr des mots de passe et d’autres éléments d’authentification punissables ».
» [Passkeys] éliminent les risques associés à la réutilisation des mots de passe et aux violations de la base de données des comptes, et sécurisent les utilisateurs contre les attaques de phishing. Les clés de passe sont développées selon les exigences du marché et fonctionnent sur différents systèmes d’exploitation et communautés de navigateurs, et peuvent être utilisées pour à la fois des sites et des applications », indique le message.
Il convient de garder à l’esprit que les utilisateurs peuvent sauvegarder et synchroniser les clés d’accès dans le cloud afin qu’ils ne soient pas verrouillés en cas de perte du gadget. En outre, Google a annoncé qu’il permettra aux développeurs de développer une prise en charge des clés d’accès sur le Web via Chrome et l’API WebAuthn.
Le marché de l’authentification sans mot de passeAvec les risques d’ingénierie sociale et de phishing qui dominent le marché paysage des menaces, l’intérêt pour les options d’authentification sans mot de passe ne cesse de croître. Les scientifiques s’attendent à ce que le marché de l’authentification sans mot de passe passe d’une valeur de 12,79 milliards de dollars en 2021 à 53,64 milliards de dollars d’ici 2030.
Alors que l’intérêt pour l’authentification sans mot de passe grandit, de nombreux fournisseurs de services tentent de réduire leur recours aux mots de passe. Par exemple, Apple propose désormais aux utilisateurs des clés d’accès, afin qu’ils puissent visiter des applications et des sites via Face ID ou Touch ID, sans mot de passe, sur les gadgets iOS 16 et macOS Ventura.
Au même moment, Microsoft explore ses propres offres d’authentification sans mot de passe. Il s’agit de Windows Hi For Organization (biométrique et PIN) et de Microsoft Authenticator (toucher biométrique, visage ou PIN). Les deux offrent aux organisations des capacités d’authentification des utilisateurs sans mot de passe qui s’intègrent à des outils populaires comme Azure Active Directory Site.
Au fur et à mesure que l’adoption augmentera, les fournisseurs seront de plus en plus sous pression pour qu’ils utilisent de plus en plus d’options d’authentification sans mot de passe disponibles, faute de quoi ils risquent d’être laissés pour compte.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques de comprendre l’innovation d’entreprise transformatrice et de négocier. Découvrez nos Instructions.
Toute l’actualité en temps réel, est sur L’Entrepreneur
