Fatigué de mémoriser ou de gérer de longues listes de mots de passe ? Bonne nouvelle : l'avenir est sans mot de passe. Vous pourrez peut-être même passer sans mot de passe (ou presque) pour certains services que vous utilisez déjà actuellement.
Qu'est-ce que “Sans mot de passe&# 8221 ; Moyen ?
Une connexion sans mot de passe élimine le besoin de fournir un mot de passe, qu'il s'agisse d'un mot de passe dont vous vous souvenez ou dont vous gardez une trace dans un gestionnaire de mots de passe. Vous devrez toujours mémoriser un identifiant comme un nom d'utilisateur ou une adresse e-mail, mais vous prouverez votre identité par d'autres moyens.
Il existe divers degrés d'implémentations sans mot de passe. L'objectif final pour beaucoup est de supprimer complètement les mots de passe, ce qui signifierait qu'il n'est pas du tout possible de se connecter avec un mot de passe. Certaines approches déjà en place vous permettent de vous connecter avec un mot de passe en option, tout en vous permettant de vérifier votre identité par d'autres moyens.
RELATEDLes différentes formes d'authentification à deux facteurs : SMS, applications d'authentification et plus encore
Pour se débarrasser des mots de passe, différentes méthodes sont utilisées pour vérifier que vous êtes bien qui vous prétendez être. Il peut s'agir d'une application d'authentification mobile à laquelle vous seul avez accès, de données biométriques telles qu'une empreinte digitale ou d'un scanner facial, un appareil physique réel tel qu'une carte-clé ou une clé USB, ou des approches moins sécurisées telles que des codes SMS ou e-mail.
< figure style="width: 650px" class="wp-caption alignnone">
Robert Fruehauf/Shutterstock.com
Vous devrez peut-être utiliser plusieurs méthodes pour prouver votre identité. L'authentification à deux facteurs a démontré l'importance d'une approche à plusieurs volets et, selon l'approche adoptée par le service auquel vous essayez d'accéder, cela peut encore être vrai dans un futur sans mot de passe.
RELATEDDans quelle mesure Face ID et Touch ID sont-ils sécurisés ?
Des progrès ont été réalisés dans le déploiement des connexions sans mot de passe grâce à de nouvelles normes telles que l'authentification Web (WebAuthn). Cette approche élimine le besoin de stocker des données biométriques telles que des empreintes digitales ou des ressemblances faciales sur un serveur central, ce qui pourrait avoir des effets dévastateurs sur la sécurité que même une violation de mot de passe ne peut pas égaler.
L'authentification Web permet les données sensibles restent sur votre appareil, alors que seule une clé est envoyée au serveur. La vérification a lieu localement sur votre appareil, qui est ensuite vérifiée à l'aide d'une clé publique sur le serveur. Cela supprime le besoin de protéger les informations secrètes sur un serveur (comme un mot de passe) puisque le secret n'a besoin d'exister que sur votre appareil local.
CONNEXES : Pourquoi vous ne devriez pas utiliser les SMS pour l'authentification à deux facteurs (et quoi utiliser à la place)
Quels avantages y a-t-il à passer sans mot de passe ?
L'un des plus grands avantages du sans mot de passe est la simplicité. Bien que la plupart des gens se soient déjà adaptés à l'utilisation des gestionnaires de mots de passe, certains mots de passe (comme les mots de passe principaux) doivent encore être conservés dans votre tête. Vous ne pouvez pas stocker le mot de passe de la base de données dans la base de données qui contient vos mots de passe, après tout.
En devenant sans mot de passe, vous pouvez à la place vérifier votre identité sans avoir à vous souvenir de quoi que ce soit. Vous devrez peut-être vous authentifier avec une application mobile ou scanner votre visage ou votre empreinte digitale, et c'est tout.
Tout le monde n'utilise pas un gestionnaire de mots de passe, même s'il le devrait. Certains s'appuient encore sur le “petit livre noir” approche, tandis que d'autres n'utilisent pas de mots de passe uniques pour chaque nouveau service auquel ils s'inscrivent. Alors que certains services nécessitent une authentification à deux facteurs, beaucoup ne le font pas.
Tim BrookesConsultez Have I Been Pwned pour voir combien de violations de données ont été associées à votre adresse e-mail et à vous& #8217;vous verrez rapidement pourquoi tant de gens cherchent désespérément à débarrasser le monde des mots de passe.
RELATED< /strong>Comment vérifier si votre mot de passe a été volé
En supprimant entièrement les mots de passe, vous supprimez un point de faiblesse dans la sécurité des comptes. Cela ne se fera pas du jour au lendemain, et il faudra du temps pour que beaucoup se réconcilient avec un avenir qui utilise des méthodes alternatives de vérification. Le monde des affaires adopte déjà des solutions comme YubiKey, car les coûts associés aux violations de mots de passe peuvent être très élevés.
Clé de sécurité professionnelle 
YubiKey 5 NFC par Yubico – Clé de sécurité 2FA USB-A et NFC
Sécurité sans mot de passe simplifiée pour vos ordinateurs et appareils mobiles.
Amazon
45,00 $ 
< p>Ce coût ne signifie pas toujours de l'argent non plus. De nombreux services, comme les banques et les fonds de pension, exigent que vous procédiez à la réinitialisation des mots de passe par téléphone ou même par courrier. Cela prend du temps à la fois pour la banque et pour le client. Les solutions sans mot de passe ne seront pas toujours exemptes de frictions, mais elles accordent moins d'importance à l'utilisateur final pour qu'il se souvienne ou protège une chaîne arbitraire de chiffres, de symboles et de lettres.
CONNEXES : Comment sécuriser vos comptes avec une clé U2F ou YubiKey
Quels services vous permettent de passer sans mot de passe ?
Au moment de la rédaction en novembre 2021, seul Microsoft vous permet de passer totalement sans mot de passe. Cela signifie que vous pouvez supprimer complètement votre mot de passe de votre compte et utiliser les services Microsoft, notamment Xbox, Microsoft 365 et Windows, sans avoir à saisir ou coller un mot de passe.
Vous pouvez le faire en téléchargeant le l'application Microsoft Authenticator pour Android ou iOS, puis connectez-vous à votre compte Microsoft dans un navigateur Web. Une fois connecté, sélectionnez “Options de sécurité avancées” puis faites défiler jusqu'à Sécurité supplémentaire et cliquez sur “Activer” à côté de l'option pour un compte sans mot de passe.
Dans le cadre du processus, vous serez invité à enregistrer des codes de sauvegarde que vous pourrez utiliser pour vous connecter à votre compte Microsoft si vous perdez l'accès à l'application Microsoft Authenticator. Vous pouvez toujours revisiter le site Web des options de sécurité de Microsoft et désactiver la fonctionnalité, qui restaure la connexion par mot de passe à votre compte à une date ultérieure.
Publicité
Google se dirige également vers un avenir sans mot de passe, la société annonçant en mai 2021 qu'elle “crée un avenir où un jour vous n'aurez plus besoin de mot de passe”. Si vous avez un appareil Android, vous pouvez utiliser votre smartphone pour vous connecter sur le Web, connectez-vous simplement à votre compte Google, appuyez sur “Sécurité” puis sélectionnez “Configurer” à côté de Utilisez votre téléphone pour vous connecter.
Apple a également pris des mesures pour mettre en œuvre des connexions sans mot de passe sur le Web dans Safari avec iOS 15 et macOS 12, sortis fin 2021. Les nouveaux « mots de passe dans le trousseau iCloud » La fonctionnalité est maintenant présente pour que les développeurs commencent à tester, bien que rien ne soit encore prêt ou accessible dans les versions grand public.
Garret Davidson d'Apple a expliqué lors d'une session WWDC 2021 comment son approche tire parti de WebAuthn en utilisant un paire de clés publiques et privées :
Avec des paires de clés publiques/privées, au lieu d'un mot de passe, votre appareil crée une paire de clés. L'une de ces clés est publique ; tout aussi public que votre nom d'utilisateur. Il peut être partagé avec n'importe qui et tout le monde, et ce n'est pas un secret. L'autre clé est privée … lorsque vous créez un compte, votre appareil génère ces deux clés associées. Il partage ensuite la clé publique avec le serveur.
Maintenant, le serveur dispose d'une copie de la clé publique … la clé privée reste sur votre appareil, et seul cet appareil est responsable de sa protection. Plus tard, lorsque vous souhaitez vous connecter, vous n'envoyez rien de secret au serveur. Au lieu de cela, vous prouvez qu'il s'agit de votre compte en prouvant que votre appareil connaît la clé privée associée à la clé publique de votre compte.
En clair : votre appareil utilise la clé publique pour vérifier, localement sur votre appareil, que vous êtes bien la personne que vous prétendez être en “signer.” Étant donné que seule votre clé privée peut produire une signature valide, seul un appareil qui connaît votre clé privée peut réussir le test. Le serveur vérifie ensuite votre signature par rapport à la clé publique et décide s'il vous accorde l'accès.
AppleCeci est un aperçu de la façon dont WebAuthn fonctionne, et comment Apple a l'intention de l'utiliser pour remplacer les mots de passe sur ses appareils lorsque combiné avec des technologies telles que la reconnaissance faciale et les analyses d'empreintes digitales.
Publicité
Vous pouvez déjà désactiver les exigences de mot de passe pour les paiements Apple Pay, les connexions d'appareils et les téléchargements App Store sur votre iPhone, iPad et Mac, mais cela pousse la même approche un peu plus loin et l'étend à d'autres services.
Une approche sans mot de passe n'est pas parfaite
Aucune solution n'est parfaite, infaillible ou totalement infaillible. Vous pourriez perdre l'accès à un appareil ou laisser quelque chose de connecté qui pourrait mettre vos comptes en danger. Même Face ID et Touch ID peuvent être exploités sur des individus endormis ou inconscients, ou en créant des fac-similés réalistes des données biométriques qu'ils recherchent.
CONNEXES : Comment Deepfakes alimentent un nouveau type de cybercriminalité
Le plus grand obstacle sera peut-être l'adoption et convaincre la plupart des gens qu'il vaut mieux abandonner leurs mots de passe au profit d'une nouvelle façon de faire les choses.
Mais une solution imparfaite n'est pas une raison pour la jeter tout à fait. Les mots de passe sont obsolètes et peu pratiques, et il est temps de passer à autre chose. L'authentification à deux facteurs n'est pas parfaite non plus, mais il y a des raisons pour lesquelles des entreprises comme Apple (et bientôt Google) l'exigent.
Il en va de même pour les gestionnaires de mots de passe. Découvrez pourquoi l'utilisation de votre navigateur Web comme gestionnaire de mots de passe peut être une mauvaise idée.
LIRE LA SUITE
- › Qu'est-ce que la faille Log4j et comment cela vous affecte-t-il ?
- › Commander Keen 4: Le premier et le seul jeu vidéo que j'ai adoré
- › Comment voir à quelles informations privées vos applications iPhone accèdent
- › Pourquoi je suis passé à Garuda Linux
- › Écoutez, vous n'avez pas besoin d'ouvrir autant d'onglets de navigateur
- › Comment lire un disque Zip sur un PC ou un Mac moderne