Une introduction au Passwordless

La plupart des utilisateurs (employés, partenaires et clients) sont frustrés à cause des mots de passe. Et les mots de passe ne parviennent même pas à sécuriser correctement les ressources ! En tant que responsable informatique, vous êtes souvent confronté au besoin de maximiser la sécurité tout en minimisant les points de frictions pour les utilisateurs. Bien que de nombreuses stratégies existent pour y parvenir, aucune initiative de sécurité n’arrive sans doute à trouver cet équilibre plus efficacement que l’authentification passwordless.

Mais adopter le passwordless n’est pas chose facile.

Malgré les avantages évidents et le nombre de cas d’usage du passwordless, l’idée de passer au tout passwordless est un processus complexe truffé de nombreuses questions. Que signifie vraiment le fait de s’authentifier sans mots de passe ? Est-ce moins sûr ? Comment cela fonctionne exactement ?

Poursuivez votre lecture pour optimiser l’authentification passwordless, et découvrir comment l’utiliser pour améliorer l’expérience de vos utilisateurs et votre sécurité dans son ensemble.

Si la plupart d’entre nous sommes habitués aux mots de passe, ils sont considérés comme un mal nécessaire, et présentent de trop nombreux risques qui ne peuvent être ignorés. Pour commencer, la plupart des mots de passe sont trop faciles à voler ou à deviner. Le Rapport Data Breach Investigations 2020 de Verizon le confirme : 80 % des violations de données impliquent des attaques par force brute ou l’utilisation d’identifiants perdus ou volés.

Malgré les efforts visant à sensibiliser les utilisateurs sur la sécurité des mots de passe et à renforcer les règles, les mots de passe faibles et risqués sont toujours largement présents. On estime qu'un utilisateur doit gérer en moyenne 100 mots de passe et que ce nombre pourrait doubler d'ici fin 2023. De ce fait, de nombreuses personnes conserveront leurs mots de passe faibles, réutiliseront le même ou adopteront des pratiques à risque telles que noter leurs mots de passe sur des post-it.

Pour lutter contre cette tendance, certaines organisations renforcent la complexité des règles de création des mots de passe et imposent à leurs utilisateurs de les changer plus souvent. Mais cela ne fait que renforcer le problème. Ceci accroît la probabilité que les utilisateurs conservent une trace écrite de leurs mots de passe, utilisent le même sur plusieurs sites ou les oublient tout simplement. Ceci peut également affecter la productivité en obligeant à la fois les utilisateurs et les administrateurs à consacrer plus de temps et d’efforts à la maintenance des mots de passe.

C’est là qu’intervient l’authentification sans mot de passe.

La définition d’authentification passworldless (sans mot de passe) peut varier mais celle qui est la plus largement acceptée est qu’il s’agit d’une méthode pour authentifier un utilisateur avec facteur alternatif à un mot de passe. Parmi les exemples figurent une empreinte digitale ou une reconnaissance faciale, une clé de sécurité ou un code à usage unique envoyé par e-mail ou par sms.

L’expérience utilisateur d’une authentification passwordless est déjà familière à la plupart des gens, mais tout ce complique au moment de la mise en œuvre. Passer au passwordless est un parcours à franchir étape par étape pour pouvoir le mettre en œuvre efficacement au sein de votre organisation.

Un mot de passe est un facteur de connaissance, c’est-à-dire qu’il s’agit de quelque chose que vous connaissez. Or, en s’appuyant uniquement sur un facteur de connaissance, le problème est qu’il est susceptible d’être volé, partagé, utilisé plusieurs fois, mal utilisé ou soumis à d’autres risques. En revanche, l’authentification passwordless s’appuie sur un facteur de possession (quelque chose que votre utilisateur a) ou un facteur inhérent (quelque chose que votre utilisateur est) pour vérifier l’identité de l’utilisateur avec plus d’assurance.

Suppression des mots de passe veut dire sécurité renforcée

Les mots de passe perdus et volés ont toujours représenté un risque de sécurité. En remplaçant les mots de passe par des facteurs d’authentification plus sûrs, il devient bien plus difficile et plus coûteux pour les pirates informatiques de mener à bien leurs attaques. Avec l’ajout de mécanismes d’authentification avancés, tels que le suivi des indicateurs de risque et de confiance envers les terminaux, vous bénéficiez d’une assurance encore plus forte que les connexions sont sécurisées.

Supprimer les mots de passe crée une meilleure expérience utilisateur

Les mots de passe causent des problèmes en termes de facilité d’utilisation, lesquels entraînent des expériences de moindre qualité. Par exemple, si votre client ou votre employé ne se souvient pas de son mot de passe, il y a un risque qu’il abandonne son achat ou qu’ils renonce à la tâche qu’il veut effectuer, plutôt que de se lancer dans le processus de récupération du mot de passe. En revanche, en proposant une authentification passwordless, vous éliminez le besoin de créer, gérer et mémoriser des mots de passe.

L’authentification sans mot de passe favorise une plus grande productivité des collaborateurs

En éliminant les mots de passe, vous éliminez aussi le besoin de les réinitialiser. Cet élément, à lui seul, peut faire gagner beaucoup en productivité car vos collaborateurs passent moins de temps à essayer d’accéder à vos systèmes. Grâce à des options d’authentification plus pratiques et plus sûres, vos utilisateurs bénéficient d’un accès plus rapide et plus simple aux ressources, et oublient les frustrations.

Une connexion sans mot de passe réduit les coûts

L’authentification sans mot de passe allège la charge de votre support informatique en réduisant, voire en éliminant, les demandes de réinitialisation de mots de passe et les coûts inhérents. Et en adoptant de nouvelles techniques passwordless, vous pouvez également remplacer de coûteux jetons et cartes d’authentification à deux facteurs par des notifications en push à faible coût ou exploiter des technologies d’authentification biométrique déjà intégrées sur les smartphones des utilisateurs.

La réponse courte est non. L'authentification multifacteur accroît l’assurance qu’un utilisateur est bien celui qu'il prétend être en demandant un facteur d'authentification supplémentaire pour pouvoir accéder aux ressources. Mais elle ajoute aussi des frictions en ajoutant une étape supplémentaire. En revanche, l’authentification passwordless s’appuie toujours sur un seul facteur, et ne s’appuie sur aucun mot de passe. Si le processus d'authentification implique plus d'un facteur et qu'aucun de ces facteurs n’est un mot de passe, il s'agit alors d’un MFA sans mot de passe.

Oui, l’authentification passwordless est intrinsèquement plus sûre que l’authentification basée sur les mots de passe, car elle vous permet de remplacer l’utilisation et le stockage des mots de passe par des mécanismes d’authentification plus sûrs.

Les solutions d’identité telles que PingOne for Workforce et PingOne for Customers sont capables de supporter FIDO2, le premier standard d’identité ouvert créé spécialement pour prendre en charge l’authentification passwordless. La norme FID02 utilise un chiffrement à clé publique pour fournir la méthode d’authentification passwordless la plus sûre. Les identifiants ne quittent jamais le terminal de l’utilisateur et ne sont jamais stockées sur un serveur, ce qui veut dire qu’ils ne sont pas vulnérables au phishing, au vol de mots de passe, ou à des attaques répétitives. L’authentification sans mot de passe peut également prendre en charge l’utilisation de technologies plus sophistiquées de détection de menaces et de réduction des risques pour renforcer la sécurité.

Quelle méthode d’authentification convient mieux à l’authentification sans mot de passe ?

Lorsqu’il s’agit de décider quels facteurs d’authentification sont les mieux adaptés à vos cas d’usage du passwordless, il est utile de connaître les avantages et les inconvénients de chacun.

Facteurs de connaissance : ce que vous savez

Exemples : un mot de passe, un code PIN ou le nom de votre premier animal de compagnie

• Avantage : facile à mettre en place


• Inconvénient : peut être oublié ou volé


Facteurs de possession : ce que vous possédez

Exemples : votre smartphone, une clé RSA, votre compte email ou un authentificateur FIDO

• Avantage : la plupart sont difficiles à voler à distance

• Inconvénient : une alternative est nécessaire s'il est cassé ou perdu

Facteurs inhérents : ce que vous êtes

Exemples : facteurs biométriques tels que la reconnaissance faciale, le scan d’une empreinte digitale, l'empreinte vocale, un ECG

• Avantage : impossible à oublier

• Inconvénient : Accessibilité limitée en raison d’une dépendance à des équipements et des fonctionnalités


Compte tenu du nombre d'options d'authentification disponibles, vous pouvez vous demander comment trouver le juste équilibre entre sécurité, facilité d’utilisation et coût pour vos cas d’usage passwordless. Une bonne façon de commencer est d’examiner les diverses applications que vous utilisez, de déterminer leurs besoins en termes de sécurité et d’identifier quels groupes d’utilisateurs devraient y avoir accès. Puis vous pouvez commencer à inventorier les scénarios d’accès aux applications et déterminer la meilleure méthode d’authentification pour chacun.

La principale priorité de l’authentification passwordless est de s’assurer que vous maintenez ou améliorez la sécurité en réduisant ou en éliminant l’utilisation des mots de passe.

Pour que cela fonctionne, vous devez être capable d’accéder à d’autres attributs sur un utilisateur, comme une empreinte digitale ou l’identifiant d’un terminal, afin de pouvoir vérifier son identité sans compromettre la sécurité. De plus, vous devez prendre en compte les terminaux de l’utilisateur et ses divers scénarios d’authentification.

Un parcours typique commence par l’identification des besoins business les plus essentiels à satisfaire et la sélection des premiers utilisateurs afin d’obtenir leur feedback durant les premières phases du déploiement.

L’image ci-dessus montre le point de vue de Ping Identity sur une procédure en quatre étapes pour la mise en œuvre de l’authentification passwordless, commençant par l’authentification adaptative centralisée et se terminant par le zero login (ou le vrai passwordless). Il n’existe toutefois pas d’approche universelle pour passer à l’authentification passwordless : votre implémentation peut être différente en fonction de vos applications spécifiques, de vos populations d’utilisateurs et de vos besoins business. Consultez le livre blanc pour en savoir plus sur la planification de votre parcours vers le passwordless.

Cas d’usage Passwordless n° 1 : accès aux ressources par les employés

Un cas d’usage fréquent du passwordless consiste à éliminer progressivement les mots de passe en fonction du comportement de l’utilisateur. Lorsque le même utilisateur se connecte sur le même terminal à peu près à la même heure chaque jour, un schéma comportemental typique est établi. Si l'utilisateur continue de suivre ce même schéma, vous pouvez réduire la nécessité d’une authentification par mot de passe de manière systématique.

Par exemple, vous pouvez demander à l'utilisateur de saisir un mot de passe à chaque connexion pendant la première semaine. Si le comportement de l'utilisateur reste constant, vous pouvez alors réduire la demande de mot de passe à une fois par jour pendant le premier mois. Si un comportement typique se poursuit, vous pouvez alors demander un mot de passe seulement une fois par semaine à partir du deuxième mois.

Cas d’usage d’authentification passwordless n°2 : accès des consommateurs au solde des cartes cadeaux

Les cartes cadeaux ont beaucoup de succès, et représentent un montant estimé de 27,5 milliards de dollars dans le total des cadeaux de fin d’année, d'après la National Retail Federation. Mais cette popularité en fait également une cible majeure pour les cybercriminels et autres acteurs malveillants. Malgré les nombreux moyens qu’ont les cybercriminels pour voler et corrompre les cartes cadeaux, les enseignes désirent que leurs cartes soient aussi simples à utiliser que possible pour les acheteurs légitimes.

Ceci représente une excellente opportunité pour l'authentification sans mot de passe. Quasiment tous les clients ont besoin d’utiliser leur email pour accéder au solde de leur carte cadeau, n’est-ce pas ? Donc, cette même adresse email pourrait être utilisée pour envoyer un code d’autorisation à usage unique lorsqu’un client accède pour la première fois à sa carte depuis un nouveau terminal. Vous pourriez aussi donner à vos clients l’option de valider le nouveau terminal avec une empreinte digitale afin qu’ils n’aient plus besoin de s’authentifier à nouveau.

Cas d’usage passwordless n°3 : accès d’un expert en sinistres à un dossier client

Dans le secteur de l'assurance, la sécurité est primordiale. Mais vous ne voulez pas prendre des mesures de sécurité si restrictives qu’elles empêchent à des utilisateurs légitimes, comme des experts en sinistres, d’accéder à un dossier client et à l’historique dont ils ont besoin.

Dans ce type de cas d’usage, l'authentification pourrait consister à envoyer une notification en push vers une application d'authentification basée sur un téléphone qui utilise la reconnaissance faciale ou une empreinte digitale, avec un facteur backup d'un authentifiant FIDO protégé par un code PIN, par exemple une YubiKey. (Pour avoir plus d’informations sur ces méthodes d’authentification, regardez notre webinaire.)

L’expert peut se connecter en répondant à la notification en push utilisant cette combinaison. S’il ne peut pas recevoir de notification push ni y répondre, il peut utiliser la Yubikey comme méthode d'authentification alternative. Etant donné que la Yubikey est un authentifiant FIDO et donc non liée à un téléphone ou un ordinateur portable, l'expert peut utiliser un code PIN pour déverrouiller l'authentificateur et obtenir l'accès. La sécurité est maintenue et la productivité n'est pas négativement affectée.

Maintenant que vous avez exploré les cas d’usage du passwordless et ses avantages, vous pouvez désormais avoir quelques idées sur les moyens de renforcer la sécurité, proposer de meilleures expériences client, accroître la productivité de vos collaborateurs tout en réduisant vos coûts informatiques. Si vous êtes prêt à passer à l’étape suivante de votre parcours vers le passwordless, Ping est prêt à vous aider.

Nos fonctionnalités éprouvées de passwordless vous permettent de démarrer facilement votre parcours dès aujourd’hui et de réduire progressivement les risques liés aux mots de passe pour votre organisation. Nous avons identifié quatre étapes qui vous aideront à passer du tandem nom d'utilisateur mot de passe à l'authentification zero login en continu. Téléchargez dès maintenant le livre blanc pour en savoir plus sur l'échelle de maturité passwordless (Passwordless Maturity Scale), et démarrer votre parcours vers l'authentification passwordless.