Le guide de l'acheteur sur l'authentification sans mot de passe
Publié: 2020-09-09Cela fait probablement très longtemps que vous n'avez pas évalué vos solutions d'authentification des utilisateurs.
Après tout, ce n'est pas tous les jours que les entreprises sont à la recherche d'une nouvelle solution d'authentification des utilisateurs. Certains n'ont jamais utilisé autre chose qu'un simple mot de passe pour authentifier leurs utilisateurs. D'autres peuvent avoir déployé une solution d'authentification multifacteur traditionnelle pour répondre à des problèmes de sécurité spécifiques liés à l'authentification des connexions d'accès à distance ou en réponse à une exigence réglementaire pour une authentification plus forte. Ce petit guide fournit un examen actuel des approches modernes d'authentification des utilisateurs.
Le rapport d'enquête sur les violations de données (DBIR) de Verizon publié en 2017 a été un moment décisif pour les perceptions sur l'authentification des utilisateurs. Le rapport a fait les gros titres dans le monde informatique lorsqu'il a révélé que 81 % des violations de données résultaient de mots de passe compromis.
C'est à ce moment-là que de nombreuses entreprises ont réalisé que les mots de passe ne résolvaient pas leurs problèmes de sécurité et en causaient beaucoup, et qu'elles ont commencé à rechercher d'autres options d'authentification. C'est le moment où l'authentification sans mot de passe est passée d'une alternative de niche recherchée par les entreprises avant-gardistes à quelque chose dont tout le monde parlait.
Qu'est-ce que l'authentification sans mot de passe ?
L'authentification sans mot de passe définit une classe de solutions d'authentification qui vérifient l'identité d'un utilisateur sans utiliser de mot de passe. La preuve d'identité est basée sur d'autres facteurs qui identifient de manière unique l'utilisateur, tels que la possession d'un élément associé de manière unique à l'utilisateur (par exemple, un générateur de mot de passe à usage unique, un appareil mobile enregistré ou un jeton matériel) ou la signature biométrique de l'utilisateur (par exemple empreinte digitale, empreinte faciale, scanner rétinien, etc.). L'authentification basée sur quelque chose que l'utilisateur connaît (c'est-à-dire l'authentification basée sur la connaissance) est également possible, tant que ce quelque chose n'est pas un mot de passe.
4 types de méthodes d'authentification sans mot de passe
Voici quelques méthodes d'authentification sans mot de passe couramment utilisées parmi lesquelles les gens choisissent souvent :
Codes à usage unique
Code à usage unique envoyé à un appareil mobile enregistré ou à une adresse e-mail. Ceci est généralement déployé par les entreprises pour authentifier leurs clients (B2C). Il est moins couramment utilisé pour l'authentification d'entreprise, c'est-à-dire pour authentifier les employés.
Biométrie
Cette méthode d'authentification sans mot de passe est devenue la norme pour authentifier les utilisateurs sur leurs appareils mobiles, avec des implémentations populaires de la technologie dans Apple Face ID et l'authentification par empreinte digitale disponible partout, même sur les appareils mobiles les moins chers. La biométrie est principalement utilisée pour authentifier l'utilisateur sur l'appareil lui-même et moins souvent sur les ressources accessibles à partir de l'appareil.
Jetons de sécurité matériels dédiés
Jetons de sécurité matériels dédiés, stockant généralement un identifiant d'infrastructure à clé publique (PKI). Au cours des dernières années, les appareils compatibles FIDO tels que YubiKeys ont gagné en popularité en tant qu'alternative d'authentification utilisateur à haute assurance aux mots de passe. Ces appareils offrent un bon niveau de sécurité, car ils sont difficiles à falsifier et nécessitent une possession physique, mais ils sont également assez coûteux et encombrants à transporter et à utiliser pour les utilisateurs.
Identifiants d'authentification attachés à un périphérique hôte
Ces informations d'identification (c'est-à-dire un certificat d'authentification client PKI épinglé à un ordinateur personnel) sont principalement utilisées pour authentifier les postes de travail des employés auprès des réseaux et des ressources de l'entreprise. Là encore, les solutions compatibles FIDO gagnent en popularité, l'exemple le plus notable étant Microsoft Windows Hello for Business. Windows Hello est disponible sur les versions plus récentes de Windows et combine un identifiant conforme FIDO avec un code PIN utilisateur ou une empreinte biométrique pour déverrouiller l'accès à l'identifiant.
Authentification multifacteur (MFA) ou authentification sans mot de passe
La combinaison de plusieurs formes d'authentification pour la vérification de l'identité aboutit à une authentification multifacteur (MFA). Historiquement, MFA était utilisé pour améliorer la sécurité de l'authentification par mot de passe. L'utilisation d'un mot de passe (quelque chose que vous connaissez) avec un porte-clés dédié ou un appareil mobile enregistré (quelque chose que vous avez) fournirait plusieurs facteurs d'authentification qui sont plus difficiles à hameçonner, craquer ou pirater, et donc fournir un niveau d'assurance plus élevé.
Aujourd'hui, il est possible d'utiliser plusieurs facteurs d'authentification sans mot de passe comme l'un des facteurs, ce qui entraîne une MFA sans mot de passe. Les facteurs d'authentification les plus couramment utilisés pour l'authentification MFA sans mot de passe sont l'appareil mobile enregistré de l'utilisateur, ainsi qu'un code PIN ou une empreinte digitale fournis via le capteur d'empreintes digitales intégré de l'appareil.
Considérations lors de l'évaluation d'une solution d'authentification sans mot de passe
Alors, à quoi une entreprise doit-elle faire attention lorsqu'elle recherche la bonne solution d'authentification ? Il existe de nombreuses considérations lors de l'achat d'une nouvelle solution d'authentification des utilisateurs, mais les trois plus importantes sont :
La solution d'authentification prend-elle en charge l'ensemble des cas d'utilisation d'authentification des utilisateurs ?
La considération la plus fondamentale est de savoir si une solution d'authentification prend en charge les cas d'utilisation d'authentification complets rencontrés par les utilisateurs au cours de leur journée de travail. Lorsque des cas d'utilisation spécifiques ne sont pas pris en charge, l'une des deux options est disponible : laisser en place la solution d'authentification existante - généralement un simple nom d'utilisateur et un mot de passe - ou introduire une deuxième solution d'authentification.
Le retour aux noms d'utilisateur et aux mots de passe va à l'encontre de l'objectif d'investir dans une meilleure solution d'authentification plus sécurisée, car cela signifie que les mots de passe vulnérables peuvent toujours être exploités par des attaquants, laissant l'entreprise exposée. Cela revient à construire un mur fortifié autour de votre maison et à laisser en place une porte dérobée avec un cadenas.
L'acquisition d'une deuxième solution d'authentification capable de gérer les cas d'utilisation non pris en charge signifie le déploiement d'une autre solution et, plus important encore, l'obligation pour les utilisateurs de transporter un autre identifiant/authentificateur. Il s'agit d'une proposition coûteuse qui offre également une expérience susceptible de frustrer les utilisateurs.
La prise en charge de l'ensemble des cas d'utilisation de l'authentification des utilisateurs peut représenter plusieurs scénarios pour une entreprise typique. Les cas d'utilisation courants en entreprise incluent :
- La connexion au poste de travail, y compris les hôtes Windows et Mac, et dans certaines entreprises, Linux est également une considération importante. Il s'agit souvent du cas d'utilisation le plus difficile pour de nombreuses solutions d'authentification, car il nécessite des intégrations délicates avec les systèmes d'exploitation et les solutions de gestion de domaine réseau.
- Le VPN d'accès à distance est une technologie de base qui permet aux employés mobiles et distants de rester connectés à leur travail. Il existe plusieurs technologies utilisées et une pléthore de fournisseurs proposant des solutions. Heureusement, au fil des ans, un ensemble de normes a émergé pour permettre une intégration simple avec les systèmes d'authentification.
- L'accès aux applications cloud est devenu courant même pour les entreprises les plus traditionnelles. Bien que certaines normes soient en place pour faciliter l'interopérabilité entre les systèmes d'authentification d'entreprise et les services cloud, elles ne sont pas toutes entièrement préparées. Les normes concurrentes et les révisions fréquentes des normes existantes signifient que la prise en charge de l'accès aux services cloud est devenue une cible mouvante.
- L'authentification hors ligne a été le talon d'Achille de nombreux systèmes d'authentification en général et de l'authentification multifacteur (MFA) en particulier. Cela représente un défi difficile car la plupart des solutions d'authentification ont été conçues pour un monde connecté. Ainsi, lorsque la connexion réseau est interrompue ou indisponible et que le serveur d'authentification n'est pas accessible, des solutions de contournement élaborées sont nécessaires pour garantir que les utilisateurs peuvent continuer à s'authentifier auprès de leur ordinateur et des ressources hébergées localement.
- L'authentificateur perdu crée un énorme casse-tête, surtout lorsqu'il s'agit d'un authentificateur matériel. Expédier physiquement un jeton de remplacement à un employé distant est coûteux et prend du temps. Ainsi, pour éviter les temps d'arrêt prolongés, des solutions de récupération logicielles ont été développées pour certaines des solutions MFA basées sur le matériel.
D'une manière générale, une solution d'authentification d'entreprise moderne doit être un acteur complet capable de gérer une grande variété de cas d'utilisation d'authentification. Opter pour une solution ponctuelle qui répond bien à des cas d'utilisation spécifiques entraînera probablement la nécessité de déployer plusieurs solutions d'authentification, ce qui est coûteux et difficile pour les utilisateurs.
La solution d'authentification fonctionnera-t-elle avec ce que vous avez déjà en place ?
La réalité pour la plupart des entreprises est qu'elles ont acquis une combinaison variée de systèmes et d'applications au fil des années d'investissement dans l'informatique. Ces systèmes sont une réalité qui doit être reconnue et toute nouvelle solution d'authentification doit pouvoir fonctionner avec tout ce qui est déjà en place. Une approche de remplacement est tout simplement trop pénible et coûteuse.
Il faut donc s'attendre à ce que les solutions d'authentification modernes soient conçues pour prendre en charge les systèmes et applications hérités et s'intègrent facilement aux investissements informatiques existants. La prise en charge des répertoires d'utilisateurs existants (par exemple, Active Directory), l'utilisation de systèmes hérités, la collaboration avec des solutions d'authentification existantes, etc. doivent toutes être intégrées à la solution et non quelque chose qui nécessite des projets de personnalisation et d'intégration coûteux.
Il devrait également être nécessaire de travailler avec des solutions d'authentification existantes telles que des jetons USB, des jetons OTP, des authentificateurs FIDO, des authentificateurs mobiles, etc. De nombreuses entreprises ont investi dans des solutions d'authentification forte, ce qui signifie qu'il n'y a pratiquement pas d'opportunités nouvelles là où rien d'autre n'est déployé. Ainsi, travailler en harmonie avec les solutions d'authentification existantes, simplifier les opérations d'un environnement d'authentification hétérogène et fournir un moyen de retirer progressivement les anciennes solutions et de migrer vers des solutions plus modernes est devenu une considération importante en soi.
La solution répond-elle aux exigences des auditeurs et des régulateurs ?
De nos jours, la plupart des entreprises opèrent dans des secteurs réglementés et sont soumises à des exigences strictes en matière de protection des données et d'authentification des utilisateurs. La conformité aux réglementations et aux normes de l'industrie telles que PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR, etc. est donc une considération importante et souvent le principal moteur pour investir dans une nouvelle solution d'authentification des utilisateurs.
Avantages de l'authentification sans mot de passe
L'authentification sans mot de passe est l'un de ces rares cas dans la vie où la nouvelle solution est clairement supérieure, sur tous les aspects. Pour le choisir, il n'est pas nécessaire de faire des compromis ou de peser le pour et le contre. L'authentification sans mot de passe offre une meilleure sécurité, une meilleure expérience utilisateur et est moins chère à posséder et à exploiter que les solutions d'authentification basées sur un mot de passe.
Améliore l'expérience utilisateur
L'authentification sans mot de passe offre une meilleure expérience utilisateur car les utilisateurs n'ont pas besoin de rappeler et de saisir des mots de passe. Cela signifie des connexions plus rapides et moins de tentatives infructueuses. Et les mots de passe ne sont jamais oubliés ou doivent être réinitialisés, ce qui signifie moins de temps d'arrêt dû aux mots de passe perdus ou oubliés, et moins d'aggravation.
Améliore la sécurité globale
Remplacer les mots de passe vulnérables par une solution d'authentification sans mot de passe bien conçue améliore en fait la sécurité, car le mot de passe est résistant au phishing et offre une meilleure protection contre d'autres formes d'attaques d'accès aux informations d'identification, y compris l'homme du milieu, l'enregistrement de frappe, le bourrage d'informations d'identification, la pulvérisation de mots de passe, etc. .
C'est moins cher sur le long terme
L'authentification sans mot de passe est moins chère à posséder et à exploiter que les mots de passe. Les mots de passe nécessitent une gestion coûteuse car ils nécessitent la prise en charge de systèmes de gestion des mots de passe pour permettre aux utilisateurs d'effectuer des actualisations périodiques des mots de passe et la réinitialisation occasionnelle des mots de passe.
Les mots de passe créent également une charge importante sur les services d'assistance lorsque les utilisateurs oublient leurs mots de passe ou perdent leur authentificateur et appellent le service d'assistance pour obtenir de l'aide lors de la récupération. Des économies supplémentaires peuvent être réalisées en arrêtant les programmes de prévention du phishing mis en place pour éduquer les utilisateurs et les protéger contre le phishing. Une authentification sans mot de passe bien conçue est à l'épreuve du phishing.
Défis avec l'authentification sans mot de passe
Le défi numéro un pour les entreprises qui décident de déployer l'authentification sans mot de passe est généralement leurs systèmes et applications hérités qui n'ont pas été conçus pour l'authentification sans mot de passe. Ainsi, s'il est facile d'adhérer à la vision d'un lieu de travail sans mot de passe, y parvenir peut être décourageant lorsqu'il s'agit d'un environnement informatique hétérogène qui combine des systèmes nouveaux et obsolètes.
Une approche consiste à déployer l'authentification sans mot de passe uniquement pour les systèmes et les applications qui la prennent en charge. Cela se traduit généralement par le déploiement d'une authentification sans mot de passe pour les applications cloud et parfois aussi sur les systèmes d'exploitation plus récents (c'est-à-dire les dernières versions de Windows 10). Mais passer sans mot de passe est vraiment un effort tout ou rien : soit vous vous débarrassez des mots de passe, soit vous ne le faites pas.
Ainsi, pour déployer avec succès l'authentification sans mot de passe pour les utilisateurs, il ne suffit généralement pas de décider que le sans mot de passe est une meilleure option, moins chère et plus sécurisée. Il est important de choisir la technologie qui vous aidera à déployer sans mot de passe dans un environnement informatique existant et hétérogène, et de répondre à tous vos cas d'utilisation d'authentification.
Panorama des solutions d'authentification sans mot de passe
Presque tous les fournisseurs de solutions d'authentification sur le marché prétendent offrir une authentification sans mot de passe. Les fournisseurs d'authentification en place ont adapté leur offre MFA pour permettre certaines formes d'authentification sans mot de passe pour certains cas d'utilisation. Les nouveaux acteurs de l'authentification misent sur le sans mot de passe, ciblant les clients disposant d'une infrastructure et d'applications modernes qui fonctionneront bien avec le sans mot de passe - les systèmes et applications hérités sont laissés pour compte.
Mais le déploiement universel de l'authentification sans mot de passe n'est toujours pas possible pour la plupart des entreprises, car il existe encore de nombreux systèmes et applications qui ne sont pas conçus pour fonctionner sans mot de passe. Laisser les mots de passe en place pour certains systèmes va presque à l'encontre de l'objectif, car pour bénéficier de l'absence de mot de passe, vous devez vraiment vous débarrasser de tous les mots de passe.
Une migration réussie vers une solution d'authentification sans mot de passe nécessite une solution qui peut fonctionner sur tous les systèmes et applications, offrant une authentification sans mot de passe lorsque cela est possible et créant une expérience sans mot de passe là où l'absence de mot de passe n'est pas possible. L'avantage de cette approche est que d'un point de vue UX, les utilisateurs n'ont pas à créer, rappeler ou saisir un mot de passe.
Du point de vue de la sécurité, les mots de passe sont soit complètement supprimés, soit tout simplement inconnus des utilisateurs, ce qui les rend à l'épreuve du phishing. De plus, lors de la mise en œuvre d'une expérience sans mot de passe, les mots de passe sont gérés par des machines, ce qui signifie qu'ils bénéficient d'une grande complexité et de rotations fréquentes, ce qui les rend plus résistants à de nombreuses formes d'attaques contre les mots de passe.