12 février 2023
Vous devez vous connecter à l'un de vos comptes en ligne - il est temps de prouver que vous êtes bien la personne que vous prétendez être. En haut de la page, vous trouverez l'une des deux options suivantes :
- Authentification basée sur les connaissances. Il s'agit généralement d'un mot de passe. Il s'agit d'une option familière, mais qui pose souvent des problèmes aux utilisateurs et aux organisations. Par exemple, au cours des dernières 24 heures , 32 % des utilisateurs ont dû demander un rappel de mot de passe. Les mots de passe oubliés sont un problème majeur qui entraîne des coûts administratifs importants et des pertes d'activité.
- Authentification sans mot de passe. Il peut s'agir d'un code d'accès unique (OTP) par SMS, d'une authentification par empreinte digitale ou de toute autre méthode d'authentification ne nécessitant pas de mot de passe. Avec la biométrie faciale iProov, par exemple, un utilisateur peut s'authentifier simplement en regardant son appareil pour accéder à son compte.
Ces dernières années, les organisations ont abandonné les mots de passe au profit d'options sans mot de passe, car l'authentification par mot de passe est généralement lourde, coûteuse et peu sûre.
Il existe de nombreuses options sans mot de passe, mais elles ne sont pas toutes égales. Certaines options offrent une meilleure expérience utilisateur, une meilleure sécurité et une plus grande inclusivité que d'autres.
[lwptoc]Qu'est-ce que l'authentification sans mot de passe ?
L'authentification sans mot de passe est le processus d'authentification de l'accès d'un utilisateur à un compte, un logiciel ou un service en ligne sans exiger un mot de passe basé sur la connaissance.
Un certain nombre de technologies peuvent être utilisées pour permettre un accès sécurisé des utilisateurs sans mot de passe :
- Authentification biométrique (visage, voix ou empreintes digitales)
- Authentification par SMS OTP
- Authentification par lien unique par courriel
- Une application d'authentification
- Authentification basée sur le matériel (par exemple, Yubikey)
- Vérification des appels vidéo
Pourquoi les organisations choisissent-elles l'authentification sans mot de passe ?
L'authentification sans mot de passe est bénéfique car elle permet souvent de renforcer la sécurité. Les vulnérabilités des mots de passe sont bien connues et peuvent être violées de nombreuses façons - en outre, les pratiques de gestion des mots de passe sont souvent risquées.
Les options sans mot de passe sont donc conçues pour renforcer la sécurité et réduire le nombre de moyens d'attaque des systèmes. Une bonne solution sans mot de passe peut également rendre le processus d'authentification plus pratique pour les utilisateurs par rapport aux mots de passe, car les mots de passe sont si facilement perdus, oubliés et violés, ce qui entraîne de longues procédures de récupération.
Aujourd'hui, les organisations choisissent généralement de mettre en œuvre l'authentification à deux ou plusieurs facteurs afin d'établir une plus grande confiance en ligne dans des conditions hostiles et de limiter la fraude grâce à une authentification plus forte. Cela signifie que les organisations n'ont pas besoin de supprimer complètement les mots de passe si elles ne le souhaitent pas - elles peuvent les combiner avec un autre facteur tel que la vérification biométrique du visage.
Mais n'oubliez pas : les avantages spécifiques de l'absence de mot de passe dépendent de la solution que vous adoptez. Il est important de trouver un équilibre entre la sécurité et l'expérience de l'utilisateur.
Le passé et l'avenir de l'authentification sans mot de passe
Dans les premiers temps de l'internet, les organisations s'appuyaient exclusivement sur un nom d'utilisateur et un mot de passe pour vérifier l'identité d'un client. Lorsque l'argent a commencé à circuler en ligne, les fraudeurs ont commencé à en profiter.
Les fraudeurs ont réussi : il est choquant de constater que 80 % des infractions liées au piratage informatique impliquent des mots de passe faibles et compromis. Les mots de passe affaiblissent intrinsèquement l'intégrité du processus de sécurité et exposent l'individu ou le service à des risques. Cela entraîne des risques de sécurité à l'échelle de la société, tant pour les utilisateurs que pour les organisations.
Au fil du temps, les attaques utilisées par les acteurs malveillants pour saper les mots de passe sont devenues plus sophistiquées et plus évolutives. Elles comprennent, entre autres, les éléments suivants
- Hameçonnage
- Enregistrement de données
- Attaques par force brute
- Attaques de type "Man-in-the-middle".
De nouvelles méthodes d'authentification des clients ont donc vu le jour pour pallier les inconvénients des mots de passe. Certaines sont restées, d'autres ont disparu. L'une d'entre elles est l'authentification biométrique, notamment parce qu'elle permet d'offrir un accès sécurisé en quelques secondes sans que l'utilisateur n'ait à se souvenir de quoi que ce soit.
En 2023, iProov prévoit que la biométrie combinée à l'appareil dépassera le mot de passe combiné à l'appareil en tant que solution d'authentification à deux facteurs - ce qui signifie que nous pourrions enfin assister à la fin des mots de passe, même dans le cadre de solutions d'authentification à deux ou plusieurs facteurs.
Comment fonctionne l'authentification sans mot de passe ?
L'authentification sans mot de passe est généralement divisée en deux catégories :
1. Basé sur la possession
Les facteurs basés sur la possession, tels que les OTP, sont parfois appelés "quelque chose que vous possédez". Ils tentent d'authentifier les utilisateurs par la possession d'un appareil. Par exemple, si vous pouvez récupérer et coller un OTP, cela devrait prouver que vous êtes la personne qui possède l'appareil associé à ce numéro de téléphone et auquel vous avez un accès exclusif - prouvant ainsi votre identité.
L'un des problèmes de l'authentification basée sur la possession est qu'elle fait confiance aux appareils plutôt qu'aux personnes. Les codes peuvent être partagés et piratés, ce qui signifie qu'ils ne constituent pas une représentation claire de l'identité d'une personne.
2. Basé sur l'incohérence :
Les facteurs basés sur l'inhérence - c'est-à-dire la biométrie - sont parfois appelés "quelque chose que vous êtes". Ils tentent d'authentifier les utilisateurs en affirmant une caractéristique biologique/physique. Par exemple, en scannant votre visage à l'aide de la caméra d'un appareil ou en appuyant votre doigt sur le lecteur d'empreintes digitales d'un appareil.
Le troisième facteur d'authentification est basé sur les connaissances. L'authentification basée sur la connaissance signifie généralement des mots de passe, mais peut également signifier des réponses secrètes, telles que votre premier animal de compagnie ou le nom de jeune fille de votre mère (bien que les réponses secrètes soient moins utilisées de nos jours).
Pour simplifier, l'authentification sans mot de passe permet aux utilisateurs de s'authentifier à l'aide d'un facteur basé sur la possession ou l'inhérence - tel qu'un OTP ou un balayage biométrique du visage - plutôt qu'à l'aide d'un mot de passe.
Le remplissage automatique des mots de passe n'est pas une authentification sans mot de passe. L'utilisation d'un code de déverrouillage de téléphone portable pour remplir un champ de mot de passe ne l'est pas non plus. Ces deux options reposent sur un mot de passe sous-jacent. L'authentification sans mot de passe permet de contourner le besoin d'un mot de passe en utilisant une technologie complètement différente.
Pourquoi choisir la biométrie faciale pour l'authentification sans mot de passe ?
La simplicité de la biométrie faciale est l'un de ses grands avantages. Elle est largement accessible, il n'y a pas de mot de passe à retenir et il n'y a pas de dispositif ou de jeton d'accès à transporter. Cela fait de la vérification biométrique du visage l'une des méthodes de sécurité les plus inclusives et les plus accessibles qui soient - à condition qu'elle soit mise en œuvre correctement.
Si d'autres méthodes peuvent présenter des avantages par rapport au mot de passe traditionnel, la sécurité reste généralement inférieure à celle d'une solution biométrique sophistiquée. Les OTP, par exemple, sont souvent très faciles à pirater. Pour en savoir plus sur les risques liés aux OTP, cliquez ici.
Examinons donc quelques-uns des domaines dans lesquels l'authentification biométrique sans mot de passe peut faire une réelle différence :
- Sécurité : D'une manière générale, l'authentification sans mot de passe basée sur la biométrie devrait être plus sûre qu'une connexion basée sur un mot de passe. Les mots de passe étant difficiles à retenir, les gens ont tendance à utiliser le même mot de passe sur plusieurs sites. Cela signifie que si un mot de passe est deviné ou violé, un pirate peut accéder à toute une série de comptes d'utilisateurs en utilisant des attaques de type "credential stuffing". En outre, les gens choisissent souvent des mots de passe simples, faciles à déchiffrer. C'est pourquoi la majorité des failles de sécurité impliquent des mots de passe. 63 % des consommateurs ont dû changer de mot de passe à la suite d'une faille de sécurité. Vous ne pouvez cependant pas perdre votre visage ou vous le faire voler.
- Amélioration de l'expérience et du confort de l'utilisateur : Avec l'authentification sans mot de passe, l'utilisateur n'a généralement rien à retenir. Dans le cas d'iProov, il n'a même pas besoin de faire quoi que ce soit : il lui suffit de regarder la caméra de son appareil qui fait face à l'utilisateur. L'authentification est donc exceptionnellement facile pour l'utilisateur final.
- Réduction des coûts: La biométrie permet de réduire les frais généraux liés à la réinitialisation des mots de passe et de diminuer le temps passé à rappeler aux employés de réinitialiser leurs mots de passe ou d'utiliser des mots de passe sécurisés. Les tickets du service d'assistance pour les mots de passe constituent un énorme problème dans tous les secteurs d'activité - plusieurs grandes entreprises américaines de différents secteurs d'activité consacrent plus d'un million de dollars par an aux coûts d'assistance liés aux mots de passe. Ils nécessitent une maintenance constante de la part des services informatiques. La suppression du mot de passe permet d'éliminer ces coûts en s'appuyant sur des méthodes d'authentification plus efficaces et plus sûres.
Avantages de l'authentification sans mot de passe grâce à la biométrie faciale iProov
De même que certaines méthodes sans mot de passe sont meilleures que d'autres, certaines solutions biométriques sont également meilleures que d'autres.
Il existe un certain nombre de propositions uniques qui font de la technologie iProov une solution sans mot de passe supérieure à d'autres :
- Des taux de réussite inégalés dans le secteur : les taux de réussite d'iProov sont généralement supérieurs à 98 %. Si l'on compare cette statistique au fait que plus de 50 % des utilisateurs ont abandonné des achats en ligne parce qu'ils avaient oublié leur mot de passe et que le retrouver prenait trop de temps, il est facile de comprendre pourquoi les entreprises se détournent des mots de passe.
- Sécurité basée sur le nuage. La sécurité basée sur le nuage d'iProov signifie que notre authentification n'est pas affectée par les vulnérabilités de l'appareil utilisé. Cela signifie également que notre sécurité est opaque pour l'attaquant et qu'il est beaucoup plus difficile de procéder à une rétro-ingénierie. Enfin, cela permet à iProov de fournir une authentification hors bande. Certaines options d'authentification sans mot de passe sont liées à l'appareil, de sorte que si cet appareil est compromis, un OTP ou une application d'authentification n'aura aucune valeur car le pirate aura accès aux codes de l'appareil. C'est pourquoi le président Biden a souligné l'importance d'une architecture basée sur le nuage .
- Une expérience véritablement passive : L'expérience utilisateur iProov est sans effort, rapide et passive - tout ce que l'utilisateur doit faire, c'est regarder la caméra de l'appareil qui fait face à l'utilisateur.
- Évolutivité et succès avéré : iProov a démontré sa capacité à évoluer dans des environnements réels avec des déploiements majeurs dans le monde entier - avec plus d'un million de vérifications par jour pendant les périodes de pointe. iProov est un fournisseur éprouvé, déjà activement utilisé par des organisations de premier plan telles que le ministère américain de la sécurité intérieure et UBS, qui lui font confiance.
- iSOC : Le centre d'opérations de sécurité d'iProov surveille les opérations quotidiennes et identifie les nouvelles attaques et celles qui évoluent. Nos défenses et nos algorithmes sont continuellement mis à jour en réponse aux nouvelles menaces, ce qui rend la vie beaucoup plus difficile aux attaquants. En fin de compte, cela signifie que nous en apprenons plus sur les attaquants qu'ils n'en apprennent sur nous.
Lisez ici tous les avantages de l'authentification biométrique faciale iProov.
Pourquoi la vivacité est-elle importante pour l'authentification sans mot de passe ?
La technologie de la vivacité est un élément de la technologie biométrique qui permet de distinguer les objets inanimés des êtres humains.
La technologie de la vivacité est un élément clé dans le choix d'une solution d'authentification biométrique sans mot de passe. Lorsque vous vous interrogez sur le type de technologie de vivacité à utiliser, vous devez réfléchir à votre profil de menace. Jusqu'à quel point l'attaquant va-t-il s'efforcer de pénétrer dans votre système ? Quelle est l'importance pour vous d'établir qu'un utilisateur en ligne est une personne réelle et non un usurpateur ? Et quelle est la valeur des informations auxquelles il accède ? Des cas d'utilisation différents exigent des niveaux d'assurance différents - c'est pourquoi certaines organisations choisissent l'authentification progressive .
En fin de compte, toutes les technologies de la vivacité ne se valent pas. Il existe tout un éventail de technologies de la vivacité. Certaines sont très bon marché et rapides. D'autres sont beaucoup plus substantielles et résistent aux méthodes des attaquants qui peuvent détecter même les attaquants les plus déterminés. Ces dernières peuvent rassurer considérablement les organisations et leurs utilisateurs.
iProov propose des solutions qui couvrent les cas d'utilisation à faible ou à haut risque. Mais lorsqu'une transaction est critique, seul iProov Dynamic Liveness (GPA) peut garantir que l'utilisateur est la bonne personne, une personne réelle, et qu'il s'authentifie en temps réel. C'est essentiel pour se protéger contre les attaques à injection numérique hautement évolutives. Grâce à la technologie brevetée Flashmark™, un code biométrique à usage unique est créé et ne peut être reproduit.
Pour en savoir plus sur le Dynamic Liveness, cliquez ici.
La biométrie pour l'authentification sans mot de passe : Un résumé
- Les méthodes d'authentification sans mot de passe ont été développées pour lutter contre les inefficacités, les insécurités et les inconvénients associés aux mots de passe.
- L'authentification sans mot de passe est généralement divisée en deux catégories : l'authentification basée sur la possession (comme les OTP) et l'authentification basée sur l'inhérence (comme la biométrie).
- Les méthodes d'authentification sans mot de passe devraient généralement être plus sûres et plus pratiques que les options basées sur un mot de passe. Mais il existe une hiérarchie dans les options disponibles : iProov défend la biométrie faciale comme la méthode qui maximise la commodité, l'inclusivité et la sécurité.
- L'authentification biométrique faciale d'iProov est utilisée à grande échelle par les organisations les plus soucieuses de sécurité dans le monde pour offrir une solution sans mot de passe qui améliore simultanément la sécurité et l'expérience de l'utilisateur.
Si vous souhaitez en savoir plus sur la mise en œuvre de la technologie iProov pour fournir une authentification sans mot de passe transparente et sécurisée, demandez une démonstration ici.