Encyclopédie biométrique

Authentification basée sur les connaissances (KBA)

L'authentification basée sur les connaissances (KBA) fait référence à l'utilisation de facteurs de connaissance pour l'authentification - c'est-à-dire des éléments d'information que vous êtes supposé être le seul à connaître, comme un mot de passe ou le nom de votre première école ou de votre animal de compagnie. Ces informations sont parfois appelées secrets partagés, car leur sécurité repose sur le fait qu'elles ne sont connues que de vous et de la personne avec laquelle vous avez partagé le secret. 

L'authentification basée sur les connaissances peut comprendre les éléments suivants : 

  • Mots de passe ou codes PIN: Les mots de passe et les codes PIN sont des méthodes d'authentification traditionnelles et les gens ont généralement l'habitude de les utiliser. L'étude iProov montre que 75 % des consommateurs ont utilisé le mot de passe de quelqu'un d'autre pour accéder à un service en ligne. En outre, en raison de failles de sécurité, 63 % des consommateurs ont dû changer de mot de passe. Les mots de passe ne sont pas non plus faciles à utiliser. Pour les rendre plus sûrs, ils doivent devenir plus complexes. Ce facteur les rend plus difficiles à retenir, ce qui signifie que les utilisateurs utilisent constamment la fonction "Mot de passe oublié" ou trouvent des solutions de rechange (comme noter les mots de passe), ce qui les rend moins sûrs. Forrester Research estime que le coût moyen d'une réinitialisation de mot de passe effectuée par le service d'assistance est d'environ 70 dollars, tandis que Gartner estime que 20 à 50 % de tous les appels au service d'assistance concernent des réinitialisations de mot de passe.
  • Questions de sécurité : L'utilisateur est invité à répondre à une question, comme le nom de jeune fille de sa mère ou le nom de son premier animal de compagnie. Ces informations peuvent parfois être trouvées en ligne, ce qui signifie qu'elles ne sont souvent pas sécurisées. Le fait de poser plusieurs questions de sécurité peut également créer des frictions et de la frustration pour l'utilisateur. 

L'authentification basée sur les connaissances peut être statique ou dynamique. Le nom de jeune fille de votre mère ou le nom de votre premier animal de compagnie, par exemple, peuvent être statiques. On parle de secrets partagés dynamiques lorsqu'une banque vous pose des questions sur votre compte que vous êtes le seul à connaître, par exemple pour connaître le montant d'une transaction spécifique que vous avez effectuée à une date donnée. 

Les facteurs de connaissance sont susceptibles d'être volés si la victime est amenée à les partager avec un fraudeur. Cela peut se faire par un processus appelé ingénierie sociale, dans lequel un fraudeur se fait passer pour une partie authentique ou manipule les utilisateurs pour qu'ils révèlent leurs secrets partagés.

En outre, le problème des secrets partagés statiques et dynamiques est que les utilisateurs peuvent les oublier au fil du temps ou ne pas connaître les réponses. Cela crée beaucoup de frictions au cours d'un processus d'authentification et peut conduire les utilisateurs à abandonner complètement ou à recourir à des processus manuels qui sont coûteux et/ou qui prennent du temps.

Si elle est utilisée, l'authentification basée sur les connaissances doit être combinée à d'autres méthodes d'authentification plus sûres, telles que la technologie de vérification biométrique du visage d'iProov, dans le cadre d'une stratégie d'authentification multifactorielle ou d'authentification par paliers.

En savoir plus sur l'authentification basée sur les connaissances

Article : Les risques des mots de passe

Article : Quels sont les avantages de la biométrie faciale ?

Article : Quelle est la meilleure méthode d'authentification?