Que sont les connexions sans mot de passe? Sont-ils réellement sécurisés?

Publicité

Les mots de passe sont essentiels à votre sécurité Internet. Mais avec autant de services, en ligne et hors ligne, il est difficile de garder une trace de vos mots de passe. Les systèmes de connexion sans mot de passe commencent à décoller, supprimant l'obligation de saisir un mot de passe chaque fois que vous vous connectez à un service.

Mais si vous n'utilisez pas de mot de passe, comment sécurisez-vous votre compte? Que sont les connexions sans mot de passe et sont-elles sécurisées?

Qu'est-ce qu'une connexion sans mot de passe?

Les connexions sans mot de passe sont des systèmes d'authentification qui utilisent des alternatives à un mot de passe pour permettre l'accès à votre compte. Par exemple, au lieu d'un mot de passe, vous recevez une notification par e-mail qui sert de jeton de connexion. Vous pouvez également recevoir une fenêtre contextuelle sur votre smartphone vous permettant de contrôler l'accès à un compte.

En cela, la connexion sans mot de passe utilise souvent une forme d'authentification préexistante pour garantir votre identité.

Vous avez peut-être déjà rencontré des connexions sans mot de passe à l'aide de votre compte Gmail. Au lieu d'avoir à entrer votre mot de passe à chaque connexion, Google peut envoyer une invite directement sur votre téléphone. L'invite indique l'heure et l'emplacement de la tentative de connexion, avec la possibilité d'approuver ou de refuser la connexion.

Comment fonctionne une connexion sans mot de passe?

Lorsque vous vous connectez à un site Web, vous devez fournir un mot de passe pour déverrouiller votre compte. Le mot de passe n'est connu que de vous et du site, ce qui assure la sécurité de votre compte. Vous avez confiance que le site gardera votre mot de passe en sécurité, le stockera en toute sécurité et que le site lui-même n'est pas vulnérable.

En outre, vous utilisez certainement déjà des mots de passe forts et uniques pour chaque site et service, car c'est la pratique la plus sécurisée.

Mais c'est ce dernier qui est devenu difficile. La création d'un mot de passe unique à usage unique pour chaque site a permis aux utilisateurs de créer des mots de passe facilement mémorisables mais terribles. Et même si vous créez un mot de passe sécurisé, un coup d'œil sur le nombre de violations de données chaque mois pourrait saper vos efforts.

Avec l'authentification sans mot de passe, vous n'avez pas à faire confiance au site Web avec un mot de passe. Au lieu de saisir un mot de passe à chaque fois, les connexions sans mot de passe utilisent plusieurs méthodes d'authentification différentes.

Authentification sans mot de passe par e-mail

Le système de connexion sans mot de passe le plus courant est actuellement par e-mail. De nombreux utilisateurs trouveront la connexion sans mot de passe par e-mail le système le plus familier, fonctionnant de la même manière qu'une réinitialisation de mot de passe.

Lorsque vous tentez de vous connecter, vous fournissez une adresse e-mail. Le service envoie un e-mail sécurisé à l'adresse associée au compte et l'e-mail contient un lien magique sécurisé à usage unique pour entrer dans votre compte de service. Le lien magique comprend un jeton de connexion unique que le service vérifie, en le remplaçant par un jeton de validation à long terme.

Il existe d'autres variantes du système de messagerie. Par exemple, dans le cas d'un compte existant, le service peut envoyer à l'utilisateur un code de clé DKIM à usage unique lié aux détails de son compte. L'utilisateur reçoit le code DKIM et le saisit sur le site. Le site vérifie le code par rapport aux détails de l'utilisateur existant et termine le processus de connexion.

Connexion sans mot de passe par SMS

Dans ce cas, l'utilisateur entre un numéro de téléphone valide. Le service envoie un code à usage unique au numéro de téléphone. L'utilisateur peut alors se connecter au service. Alternativement, certains services proposent de «faire un appel robotisé» à l'utilisateur, où un service de synthèse vocale lira directement le code.

La sécurité des SMS est cependant à l'étude. La grande majorité d'entre nous n'a pas à s'inquiéter. Mais plusieurs individus de grande valeur (en particulier ceux avec de gros volumes de crypto-monnaies) ont subi des attaques de piratage de SMS par sim. Découvrez précisément ce l'attaque sim-swapping est et comment vous protéger contre elle Qu'est-ce que l'échange de carte SIM? 5 conseils pour vous protéger de cette arnaqueAvec l'augmentation de l'accès aux comptes mobiles et du 2FA pour la sécurité, l'échange de cartes SIM représente un risque de sécurité croissant. Voici comment l'arrêter. Lire la suite .

Connexion sans mot de passe basée sur la biométrie

Certaines méthodes de connexion sans mot de passe utilisent des services de balayage biométrique pour authentifier votre identité. Les services d'authentification biométrique sont présents sur plus d'appareils que jamais. (Devrais-tu passer à un service biométrique pour votre smartphone?)

L'idée est que lorsque vous souhaitez accéder à un site, une invite apparaît sur votre smartphone. Vous déverrouillez le smartphone à l'aide de votre système biométrique préféré et le déverrouillage sert de vérification de votre identité.

Cependant, en dehors de Face ID d'Apple (pour les appareils incluant et fabriqués après l'iPhone X, iPad Pro troisième génération et iPod Touch septième génération), la numérisation biométrique des appareils mobiles n'est pas entièrement sécurise.

Les autres fabricants de matériel de numérisation de visage ne sont pas aussi avancés et sont piégés à l'aide d'une photographie, alors que il faut une tête entièrement imprimée et peinte en 3D pour tromper le Face ID d'Apple. Dans d'autres cas, les scanners d'empreintes digitales permettent une reconnaissance partielle 5 façons dont les pirates informatiques contournent les scanners d'empreintes digitales (comment vous protéger)Vous pensez que votre lecteur d'empreintes digitales rend votre appareil sûr et sécurisé? Détrompez-vous! Voici 5 façons de pirater les scanners d'empreintes digitales. Lire la suite pour déverrouiller un appareil.

À l'heure actuelle, un système de connexion biométrique sans mot de passe n'est probablement pas la meilleure option. À l'avenir, cependant, cela pourrait devenir la meilleure option.

Connexion physique sans mot de passe

Les clés de sécurité physiques offrent une autre option d'authentification de connexion sans mot de passe. Une clé de sécurité physique est une clé de sécurité USB spéciale. Lorsque vous souhaitez accéder à votre compte, vous branchez votre clé de sécurité sur votre ordinateur. Le service en ligne valide votre compte via la clé de sécurité, supprimant la nécessité d'un mot de passe.

La série Titan de Google et la série Yubikey de Yubico sont des exemples de clé de sécurité physique.

Les connexions sans mot de passe sont-elles comme une authentification à deux facteurs?

Oui et non.

Oui, une connexion sans mot de passe est similaire à l'authentification à deux facteurs (2FA) dans la mesure où vous accédez à votre compte à l'aide d'une autre méthode d'authentification. 2FA fonctionne en sécurisant votre compte à l'aide de deux facteurs distincts, généralement un mot de passe et un appareil distinct.

Non, ce n'est pas la même chose, car bien que vous utilisiez un appareil distinct pour authentifier votre compte, ce n'est toujours qu'un seul facteur.

Une connexion sans mot de passe est-elle plus sécurisée?

Tout ce qui empêche les utilisateurs de créer des mots de passe terribles est bon, non? Les connexions sans mot de passe suppriment un autre point de défaillance de l'utilisateur final. À l'heure actuelle, les connexions sans mot de passe ne sont pas répandues. Plusieurs services majeurs les utilisent, tels que Gmail (comme mentionné ci-dessus) et Slack Magic Links.

Le plus grand point positif pour les propriétaires de sites Web et les modérateurs est le manque soudain de devoir gérer les mots de passe des utilisateurs. Les mots de passe non cryptés stockés dans un fichier en texte clair sont des trucs de cauchemars; c'est l'étoffe des rêves d'un hacker. Les utilisateurs qui accèdent rarement à un service n'auraient pas non plus à passer par le rigmarole «réinitialiser votre mot de passe».

Les connexions sans mot de passe peuvent également aider les utilisateurs à se connecter rapidement au service. À l'inverse, si vous êtes régulièrement déconnecté du service, le fait de devoir vous réautoriser par e-mail ou SMS peut devenir irritant, selon la durée.

Pour l'instant, utilisez un gestionnaire de mots de passe

Les connexions sans mot de passe prendront du temps pour devenir le courant dominant. Mais la balle roule. La plupart des principaux navigateurs (tous sauf Safari) prennent en charge la connexion sans mot de passe d'un type ou d'un autre. En février 2019, Google a également annoncé que les appareils fonctionnant sous Android 7 (c'est-à-dire Android Nougat) ou version ultérieure bénéficieraient également d'une connexion sans mot de passe.

Cela signifie une prise en charge de la connexion sans mot de passe pour près de 50% de tous les appareils Android. Et les normes de connexion sans mot de passe telles que FIDO2 et WebAuthn continueront de recevoir des mises à jour, sécurisant davantage la méthode d'authentification.

Au moment de la rédaction, vous avez toujours besoin d'un mot de passe. Vous avez besoin d'un mot de passe fort et à usage unique. Dans cet esprit, pourquoi ne pas envisager d'utiliser un gestionnaire de mots de passe Les meilleurs gestionnaires de mots de passe pour chaque occasionVous avez du mal à vous souvenir de vos mots de passe de plus en plus élaborés? Il est temps de compter sur l'un de ces gestionnaires de mots de passe gratuits ou payants! Lire la suite ?