Qu'est-ce qu'une authentification sans mot de passe (« passwordless authentication ») ? La technologie sans mot de passe utilise l'appareil de l'utilisateur comme facteur d'authentification lorsqu'il surfe sur un site et sélectionne son compte. Apple, Google et Microsoft ont la vision d'un avenir sans mot de passe où les utilisateurs n'auront besoin que de leur appareil et de leur visage, de leur empreinte digitale ou de leur code PIN pour se connecter à tous les sites Web. De nombreux utilisateurs de smartphones ont déjà un avant-goût de cette technologie lorsqu’ils ont recours à des outils d'authentification comme FaceID.
Quelles conséquences du point de vue de la sécurité ?
- Les pirates informatiques criminels auront besoin d'un accès physique à l'appareil de l'utilisateur et de données biométriques ou d'un code PIN - ils ne pourront pas pénétrer les bases de données de mots de passe car elles n'existeront plus. Le ransomware et les attaques par force brute à l'aide de mots de passe cesseraient donc de fait.
- Les utilisateurs pourront jouir de la liberté de savoir que personne ne peut voler ou deviner un mot de passe et se connecter à leurs comptes.
Plus de mots de passe longs et complexes à retenir ou à taper dans le navigateur ! Adieu aux gestionnaires de mots de passe !
Eh bien, pas si vite...
Voici le problème : devinez quel recours nous pourrions avoir si l'authentification sans mot de passe venait à ne plus fonctionner ? Et oui, l'option de repli reste… l'utilisation de mots de passe.
Même dans le monde sans mot de passe annoncé par Windows, les mots de passe resteront importants. En septembre 2021, Microsoft a déclaré que les utilisateurs commerciaux des applications et services Microsoft (Outlook par exemple) pouvaient supprimer entièrement le mot de passe de leurs comptes Microsoft. Cependant, la version 22H2 de Windows 11 a mis à mal la technologie d'authentification Windows Hello. Les utilisateurs de Windows ont connu des échecs de connexion à Windows Hello avec la reconnaissance faciale, les empreintes digitales et les codes PIN. Et à chaque échec d’identification sur Windows Hello, le système Windows 11 revient aux mots de passe de l'utilisateur de leurs comptes Microsoft connectés à leurs appareils, ou les mots de passe offline de leurs machines Windows…
L'authentification sans mot de passe à l'aide de la biométrie et des codes PIN a beaucoup progressé, mais il est toujours nécessaire de conserver une option de backup afin de s'assurer que les utilisateurs pourront se connecter aux outils. Il faudra du temps pour que les sites Web et les utilisateurs finaux adoptent l'authentification sans mot de passe. Certains utilisateurs ne se sentiront à l'aise qu’en conservant leurs vieilles habitudes, ce qui signifie que la majorité des sites web devront continuer à stocker des mots de passe. Il est probable que des décennies s'écoulent avant que tous les utilisateurs disposent du matériel et des logiciels nécessaires pour utiliser l'authentification sans mot de passe.
Qu’on le veuille ou non, les mots de passe constituent le mécanisme d'authentification le plus fiable et le plus largement utilisé à ce jour pour les ressources en ligne. Et malheureusement, tant que les mots de passe seront utilisés, les pirates chercheront à les exploiter pour accéder aux données des organisations et les voler.
En attendant qu'un avenir sans mot de passe devienne une réalité, assurez-vous que votre politique de mots de passe Active Directory soit robuste et conforme aux dernières recommandations de l’ANSSI ou de la CNIL.
Le mot de passe n'a vocation à rester le point faible de votre infrastructure de sécurité informatique. Specops Password Policy avec Breached Password Protection bloque plus de 3 milliards de mots de passe compromis, notamment les mots de passe utilisés dans les attaques en cours. Ce logiciel interfacé avec Active Directory étend les fonctionnalités du Group Policy Management et simplifie la gestion des politiques de mots de passe à granularité fine. Specops offre un essai gratuit de 30 jours. Demandez une démo et testez-le dans votre environnement.