Stytch, cette start-up qui pousse les utilisateurs à adopter l'authentification en mode passwordless, propose une manière plus « moderne » de se connecter avec... des mots de passe. Sa solution basée sur le cloud s'attaque ainsi à quatre problèmes courants qui créent des risques de sécurité et des problèmes au niveau des comptes. A savoir :

1- La réutilisation du mot de passe. Quand une personne tente d'accéder à un compte couvert par la solution Stytch, le mot de passe est automatiquement vérifié sur HaveIBeenPwnd (Have I Been Pwned), une base de données de 12 milliards de mots de passe compromis, pour voir si celui-ci a fait ou non l’objet d’un vol de données. Une réinitialisation du mot de passe est automatiquement déclenchée si le mot de passe figure dans la base de données.

2- Évaluation de la force. Quand une personne crée un mot de passe, sa robustesse est automatiquement éprouvée à l'aide de l'outil d'évaluation zxcvbn de Dropbox. S’il est jugé trop faible, la solution suggère un mot de passe plus fort.

3- Déduplication des comptes. Il arrive que les utilisateurs oublient la méthode d'authentification utilisée pour accéder à leur compte. Ont-ils utilisé celle de Facebook ou de Google ? Ou une adresse électronique ? Or, le choix de la mauvaise méthode peut entraîner la création d'un compte en double. Stytch évite cela en autorisant une connexion par e-mail qui permet d'accéder à un compte quelle que soit la méthode d'authentification initiale.

4- Moins de réinitialisation. Si une personne veut accéder à son compte, mais qu’elle ne dispose pas de son mot de passe sur le champ, Stytch propose une alternative par e-mail qui permet à l'utilisateur d'accéder à son compte sans avoir à réinitialiser son mot de passe.

L'authentification passwordless encore hésitante

Reed McGinley-Stempel, cofondateur et CEO de Stytch, a expliqué que l’entreprise avait été créée dans l’idée de supprimer les mots de passe. « Nous avons toujours une vision négative des systèmes de mots de passe traditionnels et de ce qu’il peut y avoir derrière », a-t-il déclaré. « Le passwordless suscite beaucoup d'enthousiasme, mais les entreprises hésitent encore à faire passer leurs utilisateurs sur cette offre. Elles ne savent pas s’ils apprécieront l'absence de mots de passe ou si leur suppression va créer des problèmes d'expérience utilisateur et de support. Étant donné que les deux systèmes (avec et sans) vont se côtoyer au cours des prochaines années, nous œuvrons aussi pour la modernisation des systèmes avec mots de passe afin de répondre aux principales préoccupations de sécurité ».

Même si la solution Stytch résout les problèmes de mots de passe faibles et compromis avec des outils bien établis, elle ne répond cependant pas entièrement au problème de leur réutilisation car elle ne détecte pas ceux qui auraient été utilisés plusieurs fois sans qu'ils soient pour autant compromis.

La biométrie gagne du terrain pour s'authentifier

« Seul l'utilisateur final peut savoir quels mots de passe il a utilisé pour ses services », a fait remarquer Simon Davis, vice-président du marketing de RoboForm, un éditeur de gestionnaire des mots de passe. « Cela fait plusieurs années que certains annoncent la fin des mots de passe, et cette pratique arrive peut-être à son terme. De plus en plus, les principaux acteurs comme Microsoft, Google et Apple, font la promotion de solutions basées sur la biométrie en particulier ».

Et Avi Turgeman, CEO et cofondateur d'IronVest, un éditeur d'IAM, explique quant à lui : « Ces solutions, plus d’autres facteurs combinés, permettraient de se passer des mots de passe. Certes, il faudrait se débarrasser des mots de passe pour des raisons de sécurité, mais la principale raison pour laquelle ils vont disparaitre, c’est qu'ils ne sont pas pratiques. L’authentification biométrique, déjà très répandue sur les téléphones, et très utilisée du fait de sa commodité, va gagner du terrain sur les ordinateurs de bureau ».