Authentification Passwordless
L’accessibilité de l’Internet en matière de coût et de disponibilité, fait que les organisations informatisent la quasi-totalité de leurs systèmes d’information. Les institutions gouvernementales, les institutions financières et même les hôpitaux fournissent des services de plus en plus accessibles en ligne. Les transferts des fonds, les prises de rendez-vous médicaux ou compléter et soumettre une déclaration d’impôt se font à distance et loin des files d’attentes dans les bureaux des organisations.
L’accès à ses plateformes automatisées des institutions financières, gouvernementales ou médicales est régi par des systèmes d’authentification.
Les systèmes d’authentification requièrent un nom d’utilisateur et un mot de passe au minimum. La combinaison du nom d’utilisateur et du mot de passe donne accès à l’utilisateur à la section du système à laquelle l’administrateur du système lui a donné accès. Dans la majorité des cas, la section concernant le client uniquement.
Le nom d’utilisateur est souvent une adresse de courriel ou une combinaison choisie par l’utilisateur. La combinaison pourrait se composer des noms de l’utilisateur concaténés, de ses initiaux concaténés à quelques chiffres ou encore toute combinaison des chiffres et des lettres ; rarement les caractères spéciaux sont autorisés dans le nom d’utilisateur. Le nom d’utilisateur doit être unique dans le système.
La sensibilité des informations contenues dans les systèmes des institutions financières, gouvernementales, médicales…exige une sécurité accrue. Les accès à ses systèmes sont surveillés et l’identité des utilisateurs qui s’y connectent doit être certifiée. Pour cela des règles de sécurité sont implantées, celles qui impliquent une action de la part de l’utilisateur sont :
- Un mot de passe ayant au minimum 8 caractères, combinant des lettres majuscules et minuscules, des chiffres et caractères spéciaux. Lors de la connexion au système, l’usager saisit le nom d’utilisateur et le mot de passe, ceux-ci doivent correspondre à ceux enregistré dans le système sinon l’accès est refusé et le tableau de connexion est affiché afin de rentrer les informations correspondant à celles du système.
- Choisir et répondre à quelques questions de sécurité. Souvent l’utilisateur doit choisir au moins 3 questions sur une liste déjà établie et fournir les réponses aux questions choisies. Une ou plusieurs questions sont posées à l’utilisateur une fois il a passé avec succès l’étape du nom d’utilisateur et du mot de passe.
- Code CAPTCHA, pour détecter s’il s’agit d’un humain ou d’un ordinateur qui tente la connexion. Le code CAPTCHA et les questions ne sont pas souvent implémentés en parallèle dans le même système.
- Limite des essais erreurs : la majorité des systèmes limite le nombre d’essais à trois, que ce soit pour le nom d’utilisateur et mot de passe, le code CAPTCHA que pour les questions. Après trois tentatives successives infructueuses, le système bloque le compte de l’utilisateur pour une période donnée. Ceci est pour contrer les outils de piratage qui utilisent un générateur de mot passe automatique de parvenir à entrer dans le système illégalement.
Utiliser le même mot de passe et/ou les mêmes questions pour plusieurs comptes est totalement déconseillé, car si par mégarde quelqu’un pirate ce mot de passe, en seul coup, il aura accès à tous les systèmes qui l’utilisent. Si je compte toutes les institutions gouvernementales, financières et médicales dans les lesquelles j’ai un accès à leur système en ligne, j’ai plus de 40 comptes. Ce qui implique 40 mots de passe chacun composé des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Ce qui est quasiment impossible à retenir.
Écrire les divers mots de passe dans un carnet ou un fichier sur un ordinateur est aussi une mauvaise idée, car n’importe qui peut tomber dessus et avoir accès à toutes vos informations sur les différents systèmes. Les outils tels que KeePass, ou certains navigateurs web et antivirus proposent des systèmes d’enregistrements de mots de passe. Avec KeePass, un mot de passe est exigé pour avoir accès autres mots de passe et si ce mot de passe est oublié, impossible d’ouvrir le fichier des mots de passe. Et pour les navigateurs, toute personne ayant accès au navigateur qui a enregistré les mots de passe de l’utilisateur X peut se connecter aux systèmes comme étant X et avoir accès aux informations de X.
De plus le mot de passe ne devrait pas contenir notre date de naissance, notre nom ou une succession du même chiffre ou de la même lettre. Et certains systèmes exigent de changer le mot de passe après une période donnée ; le nouveau mot de passe ne devant pas être l’un des sept derniers mots de passe utilisés dans le système.
Les conditions énumérées dans le blogue d'Avast autour du mot de passe découragent les utilisateurs à créer des comptes sur les systèmes informatisés, ceux qui les créent malgré tout finissent par utiliser le même mot de passe pour tous les systèmes…
Une solution pour épargner aux utilisateurs le tracas des mots de passe tout en préservant la sécurité des systèmes est le 'Passwordless Authentication' ou authentification sans mot de passe. L’authentification sans mot de passe est en train de faire son chemin dans les institutions, il s’agit d’une technologie qui remplace le mot de passe par un code PIN, un lien internet ou par l’empreinte digitale. Le code PIN ou le lien n’est pas à connaitre à l’avance ni à maitriser. Voici quelques types d’authentification sans mot de passe :
- Authentification par lien internet : à la création du compte dans un système, une adresse email est requise, lors des prochaines connexions, un lien internet contenant un code (token) unique valide pour un temps limité (exemple 3 minutes) est envoyé à l’adresse email et l’utilisateur clique sur le lien, le lien fait une requête de vérification de token sur le système. Si le token est correspond à celui que le système a émis et qu’il est encore valide, l’authentification réussit. Le système change le token à petite durée en token à plus grande durée et l’usager est connecté au système.
- Authentification par SMS : semblable au premier, l’usager rentre un numéro de téléphone cellulaire lors de la création du compte dans le système. Lors de futures connexions, un code numérique est envoyé au téléphone de l’utilisateur qui le rentre dans la page d’accueil du système pour se connecter.
- L’authentification biométrique : qui utilise l’empreinte digitale de l’utilisateur, le scan de son visage ou de son iris. A la création du compte l’usager fournit son empreinte ou le scan de son visage ou de son iris sur base desquels le système se basera lors des prochaines connexions.
L’authentification sans mot de passe est réputée plus sécuritaire et conviviale que l’authentification avec mot de passe :
- Améliore l’expérience utilisateur : plus besoin de retenir 40 mots de passe différents ni d’avoir un outil qui sauvegarde les mots de passe, ni de les changer à intervalle régulier.
- Les utilisateurs utilisent souvent le même mot de passe pour plusieurs systèmes ou des mots de passe facile à découvrir tel que le nom du conjoint, il existe des outils de piratage de mot de passe…l’authentification sans mot de passe enlève le mot de passe de l’équation et tous ses risques de sécurité.
- Il devient facile de se connecter aux systèmes de partout car la condition du mot de passe sauvegarder dans un ordinateur ou navigateur est levée.
- Pour les institutions, les coûts liés à l’acquisition et au maintien des systèmes de mots de passe sont sensiblement réduits. Le temps et ressources libérés peut être investi dans d’autres projets et augmenter la productivité.
Déjà certains appareils tels que les téléphones mobiles et ordinateur ont l’option de scan d’empreinte digitale ou de face. Aussi des services comme PayPal ont l’option de code PIN. Surement d’autres fournisseurs des services en ligne suivront la cadence.
RMM
Commentaires
Enregistrer un commentaire