Que sont les connexions sans mot de passe? Sont-ils réellement en sécurité?
Publicité
Les mots de passe sont essentiels à votre sécurité Internet. Mais avec autant de services, en ligne et hors ligne, il est difficile de garder une trace de vos mots de passe. Les systèmes de connexion sans mot de passe commencent à décoller, supprimant l'obligation de saisir un mot de passe chaque fois que vous vous connectez à un service.
Mais si vous n'utilisez pas de mot de passe, comment sécurisez-vous votre compte? Que sont les connexions sans mot de passe et sont-elles sécurisées?
Qu'est-ce qu'une connexion sans mot de passe?
Les connexions sans mot de passe sont des systèmes d'authentification qui utilisent des alternatives à un mot de passe pour permettre l'accès à votre compte. Par exemple, au lieu d'un mot de passe, vous recevez une notification par courrier électronique qui agit comme un jeton de connexion. Vous pouvez également recevoir une fenêtre contextuelle sur votre smartphone vous permettant de contrôler l'accès à un compte.
Dans ce cas, la connexion sans mot de passe utilise souvent une forme d'authentification préexistante pour garantir votre identité.
Vous avez peut-être déjà rencontré des connexions sans mot de passe à l'aide de votre compte Gmail. Au lieu de devoir entrer votre mot de passe à chaque fois que vous vous connectez, Google peut envoyer une invite directement à votre téléphone. L'invite indique l'heure et l'emplacement de la tentative de connexion, avec l'option d'approuver ou de refuser la connexion.
Comment fonctionne une connexion sans mot de passe?
Lorsque vous vous connectez à un site Web, vous devez fournir un mot de passe pour déverrouiller votre compte. Le mot de passe n'est connu que de vous et du site, ce qui sécurise votre compte. Vous pensez que le site gardera votre mot de passe en sécurité, le stockera de manière sécurisée et que le site lui-même n'est pas vulnérable.
En outre, vous utilisez déjà des mots de passe forts et uniques pour chaque site et service, car il s'agit de la pratique la plus sécurisée.
Cependant, c'est ce dernier qui est devenu difficile. La création d’un mot de passe fort à usage unique pour chaque site a permis aux utilisateurs de créer des mots de passe faciles à retenir, mais terribles. Et même si vous créez un mot de passe sécurisé, un coup d'œil sur le nombre de violations de données chaque mois peut saper vos efforts.
Avec l'authentification sans mot de passe, vous n'avez pas à faire confiance au site Web avec un mot de passe. Au lieu de saisir un mot de passe à chaque fois, les connexions sans mot de passe utilisent plusieurs méthodes d'authentification différentes.
Authentification sans mot de passe par courrier électronique
Le système de connexion sans mot de passe le plus courant est actuellement par courrier électronique. La plupart des utilisateurs trouveront que la connexion sans mot de passe basée sur la messagerie électronique est le système le plus connu, fonctionnant de la même manière qu'une réinitialisation du mot de passe.
Lorsque vous essayez de vous connecter, vous fournissez une adresse électronique. Le service envoie un e-mail sécurisé à l'adresse associée au compte. Cet e-mail contient un lien magique sécurisé à usage unique permettant de saisir votre compte de service. Le lien magique inclut un jeton de connexion unique que le service vérifie, en l'échangeant contre un jeton de validation à long terme.
Il existe d'autres variantes sur le système de messagerie. Par exemple, dans le cas d'un compte existant, le service peut envoyer à l'utilisateur un code de clé DKIM à usage unique lié aux détails de son compte. L'utilisateur reçoit le code DKIM et le saisit sur le site. Le site vérifie le code par rapport aux détails de l'utilisateur existant et termine le processus de connexion.
Connexion sans mot de passe basée sur SMS
Dans ce cas, l'utilisateur entre un numéro de téléphone valide. Le service envoie un code à usage unique au numéro de téléphone. L'utilisateur peut ensuite se connecter au service. Certains services offrent également la possibilité d’appeler l’utilisateur par appel automatisé, un service de synthèse vocale lisant directement le code.
La sécurité des SMS est cependant sous surveillance. La grande majorité d'entre nous ont peu à craindre. Mais plusieurs personnes fortunées (en particulier celles qui possèdent de gros volumes de crypto-monnaies) ont subi des attaques de piratage par SMS. Découvrez précisément ce qu'est une attaque par échange de carte SIM et comment vous vous protégez contre celle-ci. Qu'est-ce que l'échange de carte SIM? 5 conseils pour vous protéger de cette arnaque Qu'est-ce que l'échange de carte SIM? 5 astuces pour vous protéger de cette arnaque Avec la montée en puissance de l'accès aux comptes mobiles et de la sécurité 2FA, la permutation de cartes SIM représente un risque croissant pour la sécurité. Voici comment l'arrêter. Lire la suite .
Connexion sans mot de passe basée sur la biométrie
Certaines méthodes de connexion sans mot de passe utilisent des services d'analyse biométrique pour authentifier votre identité. Les services d'authentification biométrique sont présents sur plus d'appareils que jamais. (Devriez-vous passer à un service biométrique pour votre smartphone?)
L'idée est que lorsque vous souhaitez accéder à un site, une invite apparaît sur votre smartphone. Vous déverrouillez le smartphone à l'aide de votre système biométrique préféré et le déverrouillage sert de vérification de votre identité.
Toutefois, mis à part l'identification de visage d'Apple (pour les appareils comprenant et fabriqués après l'iPhone X, l'iPad Pro de troisième génération et l'iPod Touch de septième génération), le contrôle biométrique des appareils mobiles n'est pas entièrement sécurisé.
Le matériel de numérisation de visages des autres fabricants n’est pas aussi avancé et il est trompé en utilisant une photographie, alors qu’il faut une tête entièrement imprimée et peinte en 3D pour tromper le visage d’Apple. Dans d'autres cas, les scanneurs d'empreintes digitales permettent une reconnaissance partielle. 5 façons Les scanneurs d'empreintes digitales Hypers Bypass (Comment se protéger) 5 scanners d'empreintes digitales Hackers Bypass (Comment se protéger) Vous pensez que votre lecteur d'empreintes digitales rend votre appareil sûr et sécurisé? Repensez-vous! Voici 5 méthodes de piratage des lecteurs d'empreintes digitales. Lisez plus pour déverrouiller un appareil.
À l'heure actuelle, un système de connexion biométrique sans mot de passe n'est probablement pas la meilleure option. À l'avenir, cependant, cela pourrait devenir la meilleure option.
Clé physique Login sans mot de passe
Les clés de sécurité physiques offrent une autre option d'authentification de connexion sans mot de passe. Une clé de sécurité physique est une clé de sécurité USB spéciale. Lorsque vous souhaitez accéder à votre compte, vous connectez votre clé de sécurité à votre ordinateur. Le service en ligne valide votre compte via la clé de sécurité, éliminant le besoin d'un mot de passe.
Parmi les principaux exemples de clé de sécurité physique, citons les séries Titan de Google et Yubikey de Yubico.
Les connexions sans mot de passe s'apparentent-elles à une authentification à deux facteurs?
Oui et non.
Oui, une connexion sans mot de passe est similaire à l'authentification à deux facteurs (2FA) en ce que vous accédez à votre compte à l'aide d'une autre méthode d'authentification. 2FA fonctionne en sécurisant votre compte en utilisant deux facteurs distincts, généralement un mot de passe et un appareil séparé.
Non, ce n'est pas la même chose, car même si vous utilisez un appareil distinct pour authentifier votre compte, il ne s'agit toujours que d'un seul facteur.
Une connexion sans mot de passe est-elle plus sécurisée?
Tout ce qui empêche les utilisateurs de créer des mots de passe terribles est bon, non? Les connexions sans mot de passe suppriment un autre point d'échec de l'utilisateur final. À l'heure actuelle, les connexions sans mot de passe ne sont pas répandues. Plusieurs grands services les utilisent, tels que Gmail (comme mentionné ci-dessus) et Slack Magic Links.
Le plus grand avantage pour les propriétaires de sites Web et les modérateurs est le manque soudain de gestion des mots de passe des utilisateurs. Les mots de passe non chiffrés stockés dans un fichier en texte clair sont la source de cauchemars. c'est ce qui fait rêver un pirate informatique. Les utilisateurs qui accèdent rarement à un service ne doivent pas non plus passer par la procédure de réinitialisation du mot de passe.
Les connexions sans mot de passe peuvent également aider les utilisateurs à se connecter rapidement au service. À l'inverse, si vous êtes régulièrement déconnecté du service, le fait de devoir ré-autoriser par e-mail ou par SMS peut devenir agaçant, selon la durée.
Pour l'instant, utilisez un gestionnaire de mots de passe
Il faudra du temps pour que les identifiants sans mot de passe deviennent la norme. La balle roule, cependant. La plupart des navigateurs principaux (tous sauf Safari) prennent en charge un type de connexion sans mot de passe. En février 2019, Google a également annoncé que les appareils fonctionnant sous Android 7 (ou Android Nougat) ou ultérieurement bénéficieraient également d'une prise en charge de la connexion sans mot de passe.
Cela signifie une connexion sans mot de passe pour près de 50% de tous les appareils Android. Et les normes de connexion sans mot de passe telles que FIDO2 et WebAuthn continueront à recevoir des mises à jour, ce qui sécurisera davantage la méthode d'authentification.
Au moment de la rédaction, vous avez toujours besoin d'un mot de passe. Vous avez besoin d'un mot de passe fort à usage unique. Dans cet esprit, pourquoi ne pas envisager l’utilisation d’un gestionnaire de mots de passe? Les meilleurs gestionnaires de mots de passe pour chaque occasion Les meilleurs gestionnaires de mots de passe pour chaque occasion Vous avez de la difficulté à vous rappeler des mots de passe de plus en plus élaborés? Il est temps de faire appel à l'un de ces gestionnaires de mots de passe gratuits ou payants! Lire la suite ?
Explorez plus sur: la sécurité en ligne, mot de passe.