Comment passer à l'authentification sans mot de passe en 3 lignes de code
Dans le monde numérique, il est évident que le renforcement de la sécurité d'un système implique inévitablement une dégradation de l'expérience utilisateur. Pourtant, en choisissant la bonne solution d'authentification multifactorielle (MFA), vous pouvez simplifier l'expérience de connexion quotidienne des utilisateurs et bénéficier d'une mise en œuvre sans effort de développement significatif.
Auteur : Romain Breysse, Ingénieur en cybersécurité
Après avoir travaillé pendant 10 ans dans l'industrie des télécoms sur de nombreux produits à différents postes (informatique, marketing, avant-vente) en France et à l'étranger, Romain a rejoint inWebo pour en savoir plus sur le dynamisme de l'industrie cybernétique.
En tant qu'ingénieur avant-vente chez inWebo, Romain aide nos prospects et clients à mettre en place notre solution d'authentification forte et à appliquer les meilleures pratiques en matière de cyberdéfense.
Dans le monde numérique, il est évident que le renforcement de la sécurité d'un système implique inévitablement une dégradation de l'expérience de l'utilisateur.
Notre expérience quotidienne le prouve chaque fois que nous nous connectons avec le fameux mot de passe : chaque année, nous devons augmenter la longueur de nos mots de passe, ajouter des caractères exotiques, des minuscules, des majuscules etc...., bref, augmenter la complexité pour renforcer la sécurité de nos accès.
Nous n'avons pas le choix : dans ce monde connecté, les cyberattaques se multiplient et font la une des journaux chaque semaine - ingénierie sociale, fuite de mot de passe, phishing, malware, ransomware, etc. Des mesures drastiques doivent être mises en place au sein des entreprises pour lutter contre ces nouvelles menaces. La sécurité informatique est devenue indispensable.
Alors quand le CISO annonce qu'il va renforcer la sécurité, les utilisateurs ont peur, ils tremblent : que devrons-nous faire demain pour accéder à nos e-mails ?
- Saisir un mot de passe de 20 caractères ? Quelqu'un peut m'aider !
- Utiliser une clé physique supplémentaire ? J'ai déjà assez de clés !
- Sécurité ZeroTrust ? Je n'aurai accès à rien ?
- Une politique sans mot de passe ? Mais où est la sécurité ?
- Ou ajouter une authentification à plusieurs facteurs pour tous les accès ? Quel est ce nom barbare, sera-t-il pire que le mot de passe ? ... Non !
Dans cet article, nous expliquerons que ces craintes ne sont pas inévitables et nous vous montrerons, à l'aide d'une démonstration technique, comment inWebo MFA peut réellement améliorer l'expérience de l'utilisateur tout en renforçant la sécurité !
Fini les mots de passe. Vive l'absence de mot de passe !
Tout le monde utilise un mot de passe ; au fil des ans, nous avons appris à nous connecter avec la combinaison login/mot de passe.
Cependant, avec le développement de la puissance de calcul des ordinateurs et la mise en réseau de toutes les applications, le niveau de sécurité diminue de jour en jour : protéger les comptes bancaires et les comptes clients avec un simple mot de passe relève de l'insouciance.
Bien sûr, nous pouvons toujours choisir un mot de passe plus long et/ou plus complexe pour renforcer la sécurité, mais l'impact négatif est immédiat sur l'expérience de l'utilisateur.
Cette méthode n'est pas viable dans le temps et montre déjà aujourd'hui ses limites tant sur le plan humain que technique.
L'authentification multifactorielle (MFA), une protection essentielle, rend-elle l'expérience du client plus complexe ?
Face aux nouvelles menaces, les réglementations se renforcent pour protéger l'accès de manière plus efficace. En réponse, des technologies émergent pour remplacer le mot de passe, comme l'authentification forte.
L'authentification forte consiste à combiner différents facteurs pour confirmer l'identité d'un utilisateur en générant un mot de passe à usage unique (OTP ou One Time Password) pour chaque connexion :
Ce que je possède
un facteur de possession unique pour chaque utilisateur : un jeton
Ce que je sais
un facteur de connaissance connu uniquement par l'utilisateur
Ce que je suis
un facteur biométrique tel qu'une empreinte digitale, nécessairement unique pour l'utilisateur
Par exemple, la réglementation européenne PSD2 impose aux banques et aux détaillants en ligne de sécuriser l'accès avec une authentification forte du client dès que possible (l'échéance est régulièrement repoussée car les acteurs ne sont pas encore prêts). Jusqu'à présent, les banques ont renforcé la sécurité en envoyant un mot de passe à usage unique par SMS, mais même cette technique montre ses limites en termes de sécurité et de facilité d'utilisation.
De nombreux articles fleurissent sur Internet pour souligner la complexité de MFA (multi factor authentication), qui risque de pousser les utilisateurs à renoncer aux achats en ligne, au détriment des résultats des détaillants en ligne.
Cette crainte n'est pas fondée ; inWebo a développé la bonne réponse : l'authentification multifactorielle sans mot de passe, avec un niveau de sécurité très élevé et offrant une expérience utilisateur encore plus simple que la combinaison login/mot de passe.
Comment la solution MFA sans mot de passe d'inWebo rationalise l'expérience de l'utilisateur
Sans mot de passe : Et si vous pouviez remplacer votre mot de passe par un simple code PIN et atteindre un niveau de sécurité plus élevé ?
Aujourd'hui, au quotidien, votre utilisateur tape un mot de passe de 10 caractères comme "Im_FrgttngMyPwd ? "Ce n'est pas très pratique.
Demain, avec inWebo, passez à l'absence de mot de passe et permettez à votre utilisateur de se connecter simplement en tapant un code PIN facile à retenir (un facteur de connaissance à 4 ou 6 chiffres) dans leur facteur de possession tel que notre token browser qui sera le navigateur par défaut de votre utilisateur.
En bref, l'authentification multifactorielle sans mot de passe par inWebo MFA
Ce que je possède
un facteur de possession unique pour chaque utilisateur : un jeton
Ce que je sais
un facteur de connaissance connu uniquement par l'utilisateur
Comment cela est-il possible ? Comment garantir la sécurité d'accès avec seulement un code PIN à 4 chiffres ?
Il est important de comprendre que les 4 chiffres ne sont qu'un des facteurs nécessaires à l'authentification. Ces 4 chiffres seuls ne sont d'aucune utilité. Ils ne peuvent être utilisés que sur le facteur de possession créé par l'utilisateur : dans l'exemple ci-dessus, un token browser choisi et créé lors de la phase d'enrôlement*.
La saisie de son facteur de connaissance n'est possible que sur un navigateur qui a été transformé en facteur de possession, c'est-à-dire un navigateur de confiance.
D'autre part, il s'agit d'un facteur de connaissance et non d'un mot de passe classique : le facteur de connaissance n'est pas transmis via le réseau à chaque authentification et n'est pas stocké dans une base de données classique. Il ne peut donc pas être attaqué comme un mot de passe classique.
Comment un utilisateur créera-t-il son facteur de possession, son jeton ?
Pour pouvoir s'authentifier, l'utilisateur devra faire une démarche supplémentaire pour créer son facteur de possession. Cette étape ne doit être effectuée que la première fois : dans la vie de tous les jours, il n'aura qu'à introduire son code PIN.
Cette procédure, appelée enrôlement, prend environ 1 minute : l'utilisateur recevra, par exemple, un courrier électronique contenant un lien, sur lequel il devra cliquer. Une nouvelle page s'ouvrira alors sur son navigateur par défaut pour lui demander de définir son facteur de connaissance.
C'est fini. C'est terminé. L'utilisateur vient de définir ses deux facteurs : en créant à la fois un token browser (son navigateur par défaut) et son facteur de connaissance. Rapide et efficace.
Il ne peut désormais s'authentifier que par le biais du navigateur spécifique qui est devenu son facteur de possession en tapant son facteur de connaissance.
Avant / Après l'absence de mot de passe d'inWebo MFA
Oublier le casse-tête du mot de passe
Simplifier l'expérience de connexion
C'est ainsi que l'authentification multi-facteurs d'inWebo simplifie radicalement l'expérience de l'utilisateur.
Nous avons également constaté que les équipes d'assistance étaient moins sollicitées par des demandes de réinitialisation de mots de passe oubliés ou bloqués. L'utilisateur commettra inévitablement moins d'erreurs avec un simple facteur de connaissance sous la forme d'un code PIN à retenir.
Tout le monde y gagne : les utilisateurs et les équipes d'assistance informatique.
Comment migrer vers une authentification multifactorielle sans mot de passe en un clin d'œil ?
Aujourd'hui, vous utilisez une paire login/mot de passe pour permettre à vos utilisateurs de s'authentifier. Techniquement, il s'agit d'un simple formulaire HTML qui vous permet de valider ces données dans votre base de données.
Pour transformer ce formulaire en un système d'authentification multifactorielle sans mot de passe, il vous suffit de.. :
- ajouter 3 lignes de code,
- ajouter une fonction javascript,
- pour masquer le formulaire original
puis faire un appel API à notre plateforme.
Une ligne pour initialiser la bibliothèque inWebo :
Une fonction javascript qui lancera le site inWebo token browser au chargement de la page.
inWebo génère un OTP
dansWebo token browser (Deviceless MFA) génère un OTP
Votre formulaire reçoit le OTP
enWebo confirme la OTP
A cette fin, vous pouvez trouver notre documentation en ligne avec des exemples de code pour vous aider à démarrer plus rapidement.
Améliorer l'expérience de connexion et passer sans effort à un système sans mot de passe
Alors, plus d'excuses pour ne pas sécuriser vos applications. Vous avez le choix de continuer avec un mot de passe non sécurisé, fastidieux à utiliser par vos utilisateurs et de rester exposé à toutes les attaques informatiques existantes OU de renforcer votre sécurité avec une authentification forte ET simple pour vos utilisateurs !
Les deux messages à retenir sont les suivants :
Simplifie l'expérience de l'utilisateur
L'authentification multifactorielle ne complique pas l'expérience quotidienne de l'utilisateur. Au contraire, elle la simplifie.
Rapide et facile à mettre en œuvre
inWebo MFA peut être mis en œuvre de manière très efficace sans effort de développement significatif.
Webinaire
Authentification sans mot de passe : un moyen très simple de rendre vos utilisateurs heureux et sûrs
