Comment fonctionnera un monde sans mot de passe ?
Alliance FIDO est une alliance industrielle ouverte devenue publique en 2013. L’idée était de réduire la dépendance excessive du monde aux mots de passe. Depuis près de 10 ans, l’Alliance FIDO œuvre pour un monde sans mots de passe, mais maintenant elle est plus proche de la réalité. Andrew Shikiar, directeur général de l’Alliance FIDO, explique comment un monde sans mot de passe fonctionnera.
Tout commence par les informations d’identification FIDO – ou clés cryptographiques – stockées sur les ordinateurs portables, les téléphones et d’autres appareils pouvant être utilisés pour une authentification sécurisée. Lorsqu’un identifiant FIDO est automatiquement synchronisé depuis l’appareil sur lequel il a été créé à l’origine (généralement un téléphone ou un ordinateur) vers un autre appareil appartenant à l’utilisateur, on parle d' »identifiant multi-appareil ».
Cette nouvelle fonctionnalité s’appuie sur la fonctionnalité précédente d’« informations d’identification d’appareil unique », qui est une information d’identification FIDO qui n’est disponible que sur un seul appareil et ne peut pas être sauvegardée et restaurée de cette manière. « Cette dernière avancée est importante pour la progression vers des solutions sans mot de passe plus omniprésentes, car elle permet aux utilisateurs de transférer les informations d’identification entre les appareils », explique Shikiar.
En termes simples, cela ressemblera beaucoup à l’utilisation d’un gestionnaire de mots de passe qui aide l’utilisateur à se connecter. Cependant, le niveau de sécurité est encore meilleur que l’authentification traditionnelle à deux facteurs, le tout sans étapes ni dispositifs supplémentaires lors de l’authentification.
Tout comme les gestionnaires de mots de passe avec mots de passe, cela dépend de la plate-forme du système d’exploitation pour synchroniser les clés cryptographiques associées à un identifiant FIDO d’un appareil à l’autre.
Apple, Google et Microsoft – les plus grands fournisseurs de plateformes au monde – ont confirmé leur engagement à prendre en charge ces normes de connexion sans mot de passe. « Le chemin vers l’élimination des mots de passe peut être long, mais il s’agit d’une étape cruciale pour en faire une réalité à la fois dans l’espace des consommateurs et des entreprises », estime Shikiar.
Vishal Kamat, directeur, IBM Security, IBM India Software Labs, estime que l’opportunité pour les développeurs de solutions d' »intégrer la sécurité dans la structure de leurs solutions tout en promouvant une expérience client cohérente dans l’ensemble du paysage applicatif » est formidable, car toutes les principales plates-formes se rejoignent.
Sampath Srinivas, directeur PM, Secure Authentication, Google et président, FIDO Alliance, a expliqué plus en détail comment cela fonctionnera au téléphone dans un article de blog. Le téléphone stocke un identifiant FIDO connu sous le nom de clé d’accès, qui est utilisé pour déverrouiller votre compte en ligne. « Le mot de passe rend la connexion beaucoup plus sécurisée car il est basé sur le cryptage à clé publique et n’est révélé à votre compte en ligne que lorsque vous déverrouillez votre téléphone », note Srinivas.
Si vous vous connectez sur un ordinateur, l’accès au téléphone est requis car il vous sera simplement demandé de le déverrouiller pour y accéder. Cependant, ce sera une chose unique, explique Srinivas. « Même si vous perdez votre téléphone, vos clés de sauvegarde dans le cloud sont synchronisées en toute sécurité avec votre nouveau téléphone, de sorte que vous pouvez reprendre là où votre ancien appareil s’est arrêté », ajoute Srinivas.
Shikiar de l’Alliance FIDO affirme que les trois avantages fondamentaux d’un monde sans mot de passe seront : il facilitera la connexion de l’utilisateur, il sera résistant au phishing et il offrira un système plus robuste. Il n’est pas surprenant que les gens oublient les mots de passe – cela peut être pour Uber, vous n’avez pas réservé depuis des mois ou un ancien identifiant de messagerie auquel vous souhaitez accéder. Le problème est qu’avec les anciens comptes, vous ne vous souviendrez pas de l’identifiant de messagerie ou des numéros de téléphone de sauvegarde. Tant que vous avez un téléphone, un utilisateur peut s’inscrire car il n’y a rien à oublier.
Pour les fournisseurs de services, cela nécessite certaines mises à jour de leurs systèmes d’authentification et d’identité pour activer les fonctionnalités FIDO.
« Des centaines d’entreprises technologiques et de fournisseurs de services du monde entier ont collaboré au sein de l’Alliance FIDO et du W3C au cours des dernières années pour développer les normes de connexion sans mot de passe déjà prises en charge par des milliards d’appareils et tous les navigateurs Web modernes », déclare Shikiar.
« Les mots de passe deviennent rapidement obsolètes et c’est vraiment une question de ‘quand’ et non de ‘si’ nous allons avoir un monde sans mots de passe », explique Kamat. Ce n’est un secret pour personne que les mots de passe – qu’ils soient faibles ou volés – sont de loin la principale cause des cyberattaques aujourd’hui, et par conséquent les mots de passe sont devenus le maillon le plus faible de la chaîne de défense de la cybersécurité.
Sundar Balasubramanian, directeur général, Inde et SAARC, Check Point Software Technologies estime qu’un scénario sans mot de passe pourrait devenir une réalité à mesure que les normes d’un environnement sans mot de passe deviennent plus établies et que le nombre de techniques d’authentification sophistiquées sans mot de passe augmente.
« L’utilisation de registres distribués (c’est-à-dire la blockchain) pour stocker les informations d’identité numérique, les décisions d’authentification multi-attributs à l’aide de technologies d’IA telles que l’authentification basée sur les risques et l’adoption de cadres de confiance zéro pour sécuriser les informations numériques sont quelques-unes des tendances que nous attendez-vous à ce qu’il arrive à maturité dans les 2-3 prochaines années », déclare Kamat.
Qu’advient-il de la confidentialité et de la sécurité des utilisateurs dans un monde sans mot de passe ?
Shikiar pense que la santé de la cybersécurité sera considérablement améliorée sans mots de passe. Les mots de passe et l’authentification à deux facteurs comme les OTP et les notifications push intégrées à l’application sont peu pratiques et peu sûrs. « Ils peuvent être hameçonnés, et ils sont sont aujourd’hui victimes d’hameçonnage à grande échelle », ajoute-t-il.
Balasubramanian, d’autre part, estime que même si l’authentification sans mot de passe semble être une méthode sûre et facile, elle comporte ses propres problèmes. Les difficultés de financement et de migration peuvent être comptées parmi les problèmes les plus urgents. Il poursuit en expliquant que « les logiciels malveillants, l’homme dans le navigateur et d’autres attaques sont également possibles avec une authentification sans mot de passe. Par exemple, les cybercriminels peuvent installer un correctif logiciel pour intercepter les mots de passe à usage unique (OTP). Ils peuvent même infecter les navigateurs Web avec des chevaux de Troie pour intercepter des données partagées telles que des mots de passe à usage unique ou des liens magiques. » Les cybercriminels ont également prouvé que les enregistrements vocaux et autres données biométriques étaient également dupliqués.
Kamat voit également un monde sans mot de passe comme une opportunité. « C’est une opportunité de moderniser nos systèmes d’authentification en tirant parti des nouvelles technologies qui améliorent l’expérience des consommateurs tout en sécurisant nos transactions », explique-t-il.
Avoir un support dans les appareils de tous les jours est crucial, estime Shikiar, qui pense qu’un monde sans mot de passe doit être abordé avec l’omniprésence des mots de passe et des SMS OTP. C’est pourquoi il pense que l’engagement d’Apple, Google et Microsoft est important. « Votre engagement fournira également aux fournisseurs de services des options plus diverses pour déployer des méthodes d’authentification modernes et résistantes au phishing », ajoute-t-il.
« C’est indéniablement un grand pas en avant en termes d’authentification sécurisée pour l’utilisateur quotidien, qui n’utilise probablement pas les mots de passe les plus forts mais qui, statistiquement, est plus susceptible de les réutiliser sur les sites Web et les services », déclare Balasubramanian.
Le message Pourquoi les mots de passe pourraient appartenir au passé est apparu en premier sur Germanic News.