Un avenir sans mot de passe est-il possible ?
-
En 2004, lors d’une intervention à la RSA Conference, Bill Gates annonçait la disparition prochaine des mots de passe :
Il ne fait aucun doute qu’avec le temps, les gens se fieront de moins en moins aux mots de passe. Ils utilisent le même mot de passe sur différents sites, ils les écrivent sur un bout de papier et ils en créent qui ne sont absolument pas adaptés à ce qu’ils souhaitent sécuriser.
Pourtant, en 2023, le mot de passe reste la méthode la plus utilisée pour protéger ses données personnelles. Une étude publiée par NordPass en 2022 montre à quel point il semble difficile d’abandonner cette méthode d’authentification : « 123456 » ou « azerty » figuraient toujours dans le top 10 des mots de passe les plus utilisés en France, alors qu’ils peuvent être déchiffrés en une fraction de seconde.
Selon Microsoft, en 2022, les cybercriminels ont lancé en moyenne 79 millions d’attaques de mots de passe par jour, soit environ 920 par seconde – un chiffre qui a progressé de 74 % en seulement un an ! De plus, la réinitialisation des mots de passe reste l’une des raisons principales pour lesquelles les salariés font appel au support informatique, ce qui engendre une augmentation des coûts.
20 ans après, les déclarations de Bill Gates ne semblent toujours pas avoir trouvé un écho dans notre quotidien : est-ce vraiment le cas ? Que dire à propos de l’authentification sans mot de passe ? Eclairage sur une méthode qui pourrait acter la fin – définitive – du mot de passe tel qu’on le connaît.
L’authentification sans mot de passe : de quoi s’agit-il ?
En raison de l’importance grandissante accordée à la cybersécurité par les individus, l’authentification sans mot de passe (ou passwordless) en popularité en tant qu’alternative plus sûre et plus pratique que les mots de passe traditionnels. Et il semble que l’industrie soit d’accord. Les GAMAM ont annoncé en mai 2022 qu’ils prendraient en charge le standard de sécurité FIDO2 – une norme d’authentification basée sur des clés publiques et privées – pour permettre l’authentification sans mot de passe sur l’ensemble des appareils.
Cette décision représente une avancée majeure dans la protection contre le phishing et le vol de mots de passe. Et il est facile de comprendre pourquoi.
Globalement, l’authentification sans mot de passe permet aux utilisateurs de se fier à d’autres information pour s’authentifier, telles que les données biométriques (empreintes digitales, reconnaissance faciale) ou des identifiants de profils existants sur les médias sociaux (Facebook, Google) au lieu du binôme historique nom d’utilisateur + mot de passe classique. Il est également possible de s’identifier à l’aide d’un code unique généré par une application dédiée comme Google Authenticator. De plus en plus plébiscitée par les consommateurs, elle permet d’accéder à ses comptes en ligne en toute sécurité, que ce soit pour les services bancaires, les sites d’e-commerce, ou même les applications professionnelles.
D’autres solutions sont également disponibles pour remplacer les mots de passe : L’authentification par infrastructure à clé publique (PKI) utilise des certificats numériques pour vérifier l’identité d’un utilisateur. Elle est très sécurisée, mais nécessite de mettre en œuvre d’importants développements. D’autres technologies, telles que les tokens de sécurité, utilisent un dispositif physique comme une clé USB pour authentifier l’utilisateur.
Les défis de l’authentification sans mot de passe
Bien entendu, l’authentification sans mot de passe n’est pas sans inconvénients. Tout d’abord, elle doit susciter l’adhésion de ceux qui ne sont pas tout à fait prêts à abandonner leurs comportements habituels.
Son adoption nécessite également de réaliser des investissements conséquents dans les infrastructures. Le retard observé dans l’adoption de solutions passwordless est principalement dû au fait que de nombreuses organisations utilisent encore des systèmes hérités qui sont incompatibles avec cette technologie.
Se pose également la question de l’interopérabilité avec tous les systèmes, plateformes ou appareils de son parc informatique. Ce problème ne se pose pas pour les entreprises qui ont déjà migré vers le cloud, elles adoptent plus facilement ces nouvelles méthodes car elles ne sont pas ralenties par la gestion de systèmes hérités.
Les systèmes basés dans le Cloud sont la voie à suivre
Pour les entreprises qui ont déjà entamé la refonte de leurs systèmes, le cloud joue un rôle central dans l’authentification sans mot de passe. Les plateformes basées dans le Cloud offrent un emplacement sécurisé, fiable et centralisé pour le stockage et la gestion des données sensibles, telles que les informations d’identification des utilisateurs. De plus, il est beaucoup plus facile de mettre à jour et d’adopter des technologies de sécurité émergentes si elles sont basées dans le Cloud, car il n’est pas nécessaire de remplacer l’infrastructure existante.
Bien menée, cette approche permet non seulement de garantir que les données restent sécurisées et protégées contre les accès non autorisés, mais aussi de créer une expérience utilisateur plus positive, et avec moins de frictions, en particulier chez les personnes qui hésitent à adopter la biométrie ou qui sont réticentes à l’idée d’un changement.
Malgré cela, de nombreuses organisations n’ont pas encore fait cet investissement. Ce qui peut expliquer pourquoi elles continuent d’utiliser des logiciels de gestion de mots de passe. Cela dit, même cette technologie n’est pas exempte d’écueils. En 2022, le gestionnaire de mots de passe LastPass a été victime d’une faille de sécurité, mettant potentiellement en péril la sécurité des données personnelles de ses clients. De tels incidents soulignent la nécessité d’évaluer régulièrement son exposition aux cybermenaces et de maintenir une cyber-hygiène appropriée.
Un avenir sans mot de passe : mythe ou réalité ?
Toutefois, une question subsiste : la fin des mots de passe aura-t-elle vraiment lieu ? Si des progrès considérables ont été réalisés en la matière, il existe encore une multitude de technologies qui utilisent d’anciens systèmes d’authentification et qui n’ont pas adopté l’authentification MFA.
En termes de sécurité, de commodité et d’expérience utilisateur, le modèle associant nom d’utilisateur + mot de passe n’arrivent pas à la cheville des solutions passwordless. Avec l’essor des appareils mobiles et du cloud, les systèmes d’authentification multi facteurs fournissent un niveau de sécurité élevé sans que les utilisateurs aient à mémoriser – ou pire, à écrire sur un post-it – un énième mot de passe.
Seul l’avenir pourra nous dire si les mots de passe seront toujours utilisés dans 20 ans, mais ce qui est sûr, c’est que la surface d’attaque globale d’une entreprise ne fait qu’augmenter. Outre l’authentification, une approche de sécurité multicouche incluant notamment la protection des endpoints et des réseaux permet également de se prémunir de manière proactive et défensive contre les menaces toujours plus nombreuses
– Tribune par Chris Vaughan, AVP Technical Account Management, EMEA chez Tanium
– Source
https://www.undernews.fr/authentification-biometrie/un-avenir-sans-mot-de-passe-est-il-possible.html
Dur de faire bouger les habitudes. Et toi, tu en penses quoi de tout ça ?
-
Perso j’utilise des mots de passe de 20 caractères, maj-min, chiffres + car spéciaux, générés par un générateur de mdp, et unique pour chaque application. Tout ça géré par un gestionnaire de mdp (j’utilise keypass) et jusqu’à l’arrivée de l’ordinateur quantique qui n’est pas pour demain, je me sens tranquille.
Tout ça pour dire que la façon dont ça marche en ce moment me convient (avec le code SMS pour les trucs super critiques.) -
Les mots de passe des services critiques que j’utilise, e-commerce, BAL principales, PW, banque, etc ne sont enregistrés nulle part, sont complexes et le 2FA est activé quand c’est possible. Je les renouvelle de temps en temps pour les complexifier. Pour le reste, site web, réseau sociaux sur lesquels je n’ai aucune info critique j’utilise le gestionnaire de mot de passe de Firefox.
-
@Raccoon a dit dans Un avenir sans mot de passe est-il possible ? :
Pour le reste, site web, réseau sociaux sur lesquels je n’ai aucune info critique j’utilise le gestionnaire de mot de passe de Firefox
Punaise, moi au taf, je fais souvent mon curieux pour voir ce qui s’y trouve. Si tu savais le nombre de combo id/password que j’ai pu y trouver pour des banques, mails etc…
Heureusement pour eux que je ne suis pas mal intentionné sinon ce serait la fête
@Raccoon a dit dans Un avenir sans mot de passe est-il possible ? :
Les mots de passe des services critiques que j’utilise, e-commerce, BAL principales, PW, banque, etc ne sont enregistrés nulle part, sont complexes et le 2FA est activé quand c’est possible
-
Raccoon Admin Seeder I.T Guy Windowsien Apple User Gamer GNU-Linux User Teama répondu à Violence le dernière édition par
@Violence a dit dans Un avenir sans mot de passe est-il possible ? :
Punaise, moi au taf, je fais souvent mon curieux pour voir ce qui s’y trouve. Si tu savais le nombre de combo id/password que j’ai pu y trouver pour des banques, mails etc…
Heureusement pour eux que je ne suis pas mal intentionné sinon ce serait la fête
J’y fouine rarement par curiosité mais pour retrouver des mots de passe que les utilisateurs ont eux-même oublié et effectivement on peut y trouver de quoi connaitre toute la vie de la personne. Si c’était leur PC perso, pourquoi pas, même si niveau sécurité c’est proche de zéro, mais un PC de taf il ne faut vraiment avoir peur de rien, ou être inconscient.
Idem pour les fichiers, un jour je répare un Adode Reader qui n’ouvrait plus les PDF, je file dans les téléchargements pour en trouver un pour tester que ça refonctionne, je double-clique dessus, il s’ouvre et là l’utilisatrice me dit :
- Ah mais c’est un doc perso ça, c’est mon relevé de compte
- moi :
-
Tarazoo, mais JPP d’une société pleine de mots de passe et de codes de confirmation sécuritaires sur mobaîle. Personnellement, je varie et change et complexifie mes Id/Pw autant que possible. Pour éviter de les oublier je tiens un fichier Excel tel un comptable (qui est pourtant une pratique que je déteste car les chiffes et moi sont aux antipodes).
Aujourd’hui, il devenu impossible de se connecter sans balancer des codes + des super-codes de vérifs tellement la défense et la défiance est telle face au hacking.
Je me mets à la place de ma grand’ tante Marie-Louise de 90 ans (on en a tous une + ou - âgée et dépendante numériquement. Comment va t-elle se débrouiller avec tous ses codes et super-codes et Pw et autres blocages en cas l’erreur de saisie sur un clavier minuscule de smartphone ?