Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
L’authentification passwordless | Ping Identity
Fondamentaux de la Gestion des Identités
Orchestration des Identités
Gestion des Identités et des Accès
Fournisseurs d’identité et fournisseurs de service
Gestion Centralisée et Décentralisée des Identités
Sécurité Zero Trust
Authentification
Autorisation
Méthodes d’autorisation
Provisioning des utilisateurs et des comptes
Comment le single sign-on fonctionne avec un annuaire
l’Autorisation Dynamique
Standards d’authentification et d’autorisation
SAML
OAuth
OpenID Connect (OIDC)
Protocoles d’authentification et d’autorisation
LDAP
SCIM
WebAuthn
Kerberos
WS-Trust
Expand All | Collapse All

L’authentification Passwordless


L’authentification passwordless est une manière de vérifier l’identité d’un utilisateur sans utiliser de mot de passe. Ce type d’authentification n’est pas un type spécifique de technologie, mais plutôt un objectif ou un résultat souhaité.

 

Les mots de passe deviennent obsolètes et constituent souvent le maillon le plus faible dans la protection des ressources digitales. Non seulement il est difficile de les retenir, ils sont souvent réutilisés, et ils doivent être changés fréquemment, mais pour les services informatiques, le support et la maintenance des mots de passe sont souvent leur plus grande source de dépenses.

 

En remplaçant les mots de passe avec des facteurs d’authentification plus sécurisés, il devient plus difficile et plus coûteux pour les attaquants d’arriver à leurs fins. Par exemple, avec FIDO (Fast Identity Online), le premier standard d’identité ouvert créé pour supporter l’authentification passwordless, les identifiants de l’utilisateur ne quittent jamais le terminal et ne sont pas stockés sur un serveur, ce qui réduit les vulnérabilités résultant du phishing, du vol de mot de passe et des attaques répétitives. Des mécanismes d’authentification supplémentaires, comme le suivi des signaux de risque et le niveau de confiance du terminal, rendent les méthodes d’authentification passwordless encore plus sécurisées.


Mais ce qui est peut-être plus important encore, l’authentification passwordless améliore l’expérience utilisateur. Les mots de passe causent des problèmes en termes de convivialité, lesquels entraînent des expériences de moindre qualité. Il est plus facile pour les utilisateurs de fournir une empreinte digitale ou de parler dans un micro que de retenir un mot de passe et d’en garder la trace. L’essentiel du processus d’authentification s’effectue en arrière-plan et les utilisateurs ne s’en rendent même pas compte.

 

 

Comme cela fonctionne ?

 

L’authentification passwordless a lieu lorsque des facteurs d’authentification autres que des mots de passe sont utilisés pour accéder à des ressources numériques. L’un ou plusieurs des facteurs suivants peuvent être utilisés :

 

  • Facteurs inhérents

  • Facteurs de possession

  • Liens magiques

 

Notez que l’authentification passwordless n’est pas nécessairement la même chose que l’ authentification multifacteur (MFA). Avec l’authentification multifacteur, les utilisateurs doivent utiliser deux facteurs ou plus pour prouver qu’ils sont bien ceux qu’ils prétendent être, et l’un de ces facteurs pourrait impliquer une méthode d’authentification passwordless. Avec l’authentification passwordless, il pourrait être demandé aux utilisateurs d’utiliser un seul facteur, mais ce facteur ne sera pas un mot de passe. Si l’authentification requiert plus d’un facteur d’authentification, il s’agit de MFA passwordless.
 

  • Facteurs inhérents
    Les facteurs inhérents utilisent les traits biologiques comme les empreintes digitales ou les scans de la rétine, ou bien les traits comportementaux, comme le schéma vocal et les mouvements de la souris ; ils sont utilisés pour vérifier l’identité des utilisateurs. Les caractéristiques distinctives de l’utilisateur sont captées, transformées en données numériques et comparées aux données stockées dans une base de données. Si ces informations correspondent aux données figurant dans la base de données, les utilisateurs seront autorisés à accéder aux ressources numériques. 

    •  

  • Facteurs de possession
    Avec les facteurs de possession, les utilisateurs s’authentifient en prouvant que leur appareil est en leur possession. Le système envoie un mot de passe à usage unique sur l’appareil de l’utilisateur et l’utilisateur saisit ce mot de passe pour se connecter sur le système. Les techniques de cryptographie à clés publiques peuvent aussi être utilisées pour l’authentification, ce qui implique des paires de clés cryptographiques avec des clés publiques et privées. Vous pouvez visualiser une clé publique comme un cadenas et une clé privée comme la clé qui l’ouvre. Toutes les communications sont chiffrées et les clés privées ne quittent jamais les terminaux des utilisateurs, ce qui réduit l’éventualité d’un piratage durant la transmission.

    •  

  • Liens magiques
    Avec les liens magiques, les utilisateurs donnent leur adresse électronique et un jeton ou un code unique est créé et stocké. Le système envoie des emails aux utilisateurs avec des URL contenant ces jetons ou ces codes uniques. Lorsque les utilisateurs cliquent sur ces liens, le serveur vérifie le jeton ou le code et l’échange contre un jeton longue durée (souvent stocké comme un cookie de navigateur), et les utilisateurs sont autorisés à accéder à la ressource.  

 

Cas d’usage de l’authentification passwordless


Il existe plusieurs méthodes et technologies d’authentification passwordless, et un nombre infini de manière de les utiliser et de les combiner pour protéger les ressources numériques. Certaines méthodes sont faciles à mettre en place et pourraient être adaptées pour accéder à des ressources qui ne contiennent pas d’informations sensibles, tandis que d’autres méthodes fournissent des mécanismes de sécurité robustes mais sont plus coûteuses à mettre en place. Chaque situation est unique. 

 

Par exemple, les méthodes d’authentification passwordless sont souvent utilisées dans le secteur des services financiers en raison de la sensibilité des données impliquées. Dans ces deux cas d’usage, plusieurs méthodes d’authentification passwordless différentes sont utilisées pour accéder aux informations du compte.

 

Cas d’usage n° 1 : Accès au solde d’une carte cadeau d’un client 


Pour accéder au solde d’une carte cadeau, une entreprise de vente demande que les utilisateurs créent un nouveau compte avec leur adresse électronique et un mot de passe. La première fois que le client accède au solde de son compte depuis un nouvel appareil :

  • Le système pourrait lui envoyer par email un code d’autorisation à usage unique, qu’il fournit pour obtenir l’accès.
  • Ou bien le système pourrait donner au client l’opportunité d’enregistrer le nouvel appareil avec une empreinte digitale, qu’il fournit pour obtenir l’accès.

Cas d’usage n° 2 : Accès au dossier d’un expert en assurance


Une forme de sécurité supplémentaire pourrait être nécessaire pour accéder à des informations plus sensibles. Par exemple, si un expert en assurance a besoin d’accéder au dossier de son client, son identité pourrait être authentifiée en utilisant plusieurs méthodes passwordless.

 

L’authentification pourrait impliquer d’envoyer une notification en push à une appli d’authentification basée sur un téléphone, qui utilise les empreintes digitales ou la reconnaissance faciale.

 

ISi pour quelque raison que ce soit, cette méthode ne fonctionnait pas, une méthode d’authentification de repli, comme l’utilisation d’une Yubikey, pourrait être utilisée. Etant donné que la Yubikey est un authentifiant FIDO et donc détaché du téléphone ou de l'ordinateur portable, l'expert peut utiliser un code PIN pour déverrouiller l'authentifiant et obtenir l'accès. La sécurité est maintenue et la productivité n'est pas affectée de manière négative.  

 

Pour en savoir plus sur les protocoles FIDO et leur fonctionnement, découvrez FIDO (Fast Identity Online)

Ressources Annexes

Livre blanc
L’authentification Passwordless

   

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.