sans mot de passe

Le concept d’authentification «sans mot de passe» a attiré une attention considérable de l’industrie et des médias. Et pour une bonne raison. Nos vies numériques exigent un nombre toujours croissant de comptes et de services en ligne, les meilleures pratiques en matière de sécurité dictant que chacun nécessite un mot de passe fort et unique afin de garantir la sécurité des données. Qui ne voudrait pas d’un moyen plus simple?

C’est la prémisse derrière les mots de passe à usage unique (OTP), la biométrie, les codes PIN et d’autres méthodes d’authentification présentées comme une sécurité sans mot de passe. Plutôt que de se souvenir de mots de passe encombrants, les utilisateurs peuvent s’authentifier en utilisant quelque chose qu’ils possèdent, connaissent ou sont. Certains exemples incluent un smartphone, un OTP, un jeton matériel ou un marqueur biométrique comme une empreinte digitale. Bien que cela semble attrayant à première vue, le problème est que, lorsque vous creusez plus profondément, ces solutions sans mot de passe dépendent toujours des mots de passe.

Cela se produit de deux manières principales:

Les solutions sans mot de passe reposent sur les mots de passe comme solution de secours

Si vous possédez un appareil Apple, il est probable que vous ayez rencontré un problème avec Touch ID à un moment donné. Il existe de nombreuses raisons pour lesquelles l’authentification Touch ID peut échouer: des débris sur le bouton, le positionnement des doigts des utilisateurs ou des problèmes de configuration du système, pour n’en citer que quelques-unes. Lorsque ces problèmes et d’autres surgissent, que vous invite-t-il à faire? Tapez votre mot de passe.

Cela signifie que, même si vous avez activé Touch ID pour toutes les applications et services possibles, la sécurité de ces comptes n’est vraiment aussi bonne que votre mot de passe. Les pirates peuvent ignorer le Touch ID et se lancer directement dans une attaque par mot de passe.

Compte tenu du problème rampant de réutilisation du mot de passe, il y a de fortes chances que les informations d’identification que de nombreuses personnes utilisent pour leurs appareils Apple aient déjà été exposées. Et si un mot de passe a été exposé, soyez assuré qu’il est disponible pour tous les pirates informatiques via le Dark Web.

Bien entendu, ce n’est pas un défi propre à Apple. Comme ces solutions d’authentification émergentes sont relativement nouvelles, un moyen d’authentification de secours sera nécessaire dans un avenir prévisible. Et quand on considère que cette forme secondaire de connexion est généralement un mot de passe, la promesse du sans mot de passe reste insaisissable.

Les informations d’identification sont utilisées pour authentifier le système sur le backend

Le deuxième facteur contribuant au mirage sans mot de passe est que les informations d’identification sont toujours généralement requises pour authentifier le système à un moment donné de la chaîne de sécurité.

Par exemple, vous avez peut-être accès à votre bureau via un jeton matériel qui utilise par défaut votre code d’accès unique si / lorsque le jeton est endommagé, ou vous l’oubliez tout simplement. Mais qu’en est-il de l’administrateur informatique qui se connecte au système pour analyser les données? S’ils utilisent un mot de passe sans solution complémentaire pour assurer le l’intégrité de leurs informations d’identification, alors la sécurité du système dépend toujours de la sécurité par mot de passe.

Pourquoi les mots de passe ne disparaîtront pas de sitôt

Les deux exemples décrits ci-dessus soulignent que le concept sans mot de passe est en grande partie de la fumée et des miroirs – du moins à ce stade du jeu. Ces stratégies de sécurité invisibles émergentes ont des problèmes d’authentification supplémentaires qui exigeront que les mots de passe continuent de faire partie de la sécurité d’authentification pour le prévisible.

En revanche, les mots de passe ont toujours beaucoup d’attrait pour les organisations. Il s’agit de l’option d’authentification la plus abordable et la plus évolutive, ce qui les rend difficiles à remplacer. Il n’y a aucun problème de compatibilité avec les mots de passe qui fonctionnent sur tous les appareils, versions et systèmes d’exploitation.

Ce n’est pas le cas de la plupart des solutions émergentes sans mot de passe, qui obligeront les organisations à allouer plus de budget si elles souhaitent augmenter la compatibilité. Un autre avantage de se fier à un mot de passe est qu’il est correct ou non. En revanche, certaines des options sans mot de passe reposent sur une prise de décision probabiliste, où il existe une marge d’erreur intégrée.

Le rôle des couches d’authentification variées et multiples

Selon Eric Haller, EVP d’Experian et directeur général de l’identité, de la fraude et des DataLabs, “Les consommateurs veulent être reconnus numériquement sans étapes supplémentaires pour s’identifier… ils sont ouverts à des solutions plus pratiques à l’ère numérique d’aujourd’hui.” La volonté peut être là de la part des consommateurs, mais la vérité est qu’il n’existe pas de solution unique et efficace pour une authentification sécurisée. Ces stratégies de sécurité invisibles ont leur place, mais uniquement dans le cadre d’une approche de cybersécurité plus large dans laquelle plusieurs couches d’authentification sont déployées. Cela nous ramène aux mots de passe.

Sécurisation de la couche de mot de passe

Comme mentionné ci-dessus, il est incroyablement courant pour les gens de créer des mots de passe simples et faciles à retenir qu’ils réutilisent ensuite sur plusieurs comptes et services. Quatre-vingt-onze pour cent des répondants à une enquête reconnaissent que cela introduit de nombreux problèmes de sécurité, mais 59% admettent le faire quand même. Il est irréaliste de s’attendre à ce que le comportement humain change, en particulier dans le monde post-pandémique où nous avons plus d’interactions numériques que jamais dans notre vie personnelle et professionnelle. Alors, que peuvent faire les organisations pour garantir la sécurité des mots de passe?

Importance du dépistage des informations d’identification compromises

Les violations de données se produisant en temps réel, la seule approche consiste à filtrer les mots de passe par rapport à une base de données en direct d’informations d’identification compromises à chaque connexion. Que les mots de passe soient utilisés comme principal moyen d’authentification ou comme sauvegarde en cas d’échec d’une stratégie de sécurité invisible, il est essentiel que les entreprises surveillent en permanence l’utilisation des informations d’identification exposées. Enzoic’s La solution dynamique de filtrage des informations d’identification compromises permet aux organisations d’automatiser ce processus, libérant ainsi les ressources pour se concentrer sur d’autres domaines de la cybersécurité tout en assurant la protection au niveau de la couche de mot de passe.

Ne croyez pas le battage médiatique sans mot de passe

Pour l’instant, la promesse d’un monde sans mot de passe reste un mirage. Bien que notre dépendance puisse diminuer, l’élimination complète des mots de passe semble peu probable. Par conséquent, les mots de passe faisant partie de notre vie dans un avenir prévisible, il est essentiel que les organisations protègent la couche de mots de passe.



Leave a Reply