Quotidien Finance digitale, open finance, blockchain
              



Les mots de passe : par quoi et comment les remplacer ?


Par Arnaud Gallut, Directeur des Ventes Europe du Sud Ping Identity.



Pour les entreprises comme pour les particuliers, les mots de passe sont encore partout, mais peut être plus pour longtemps.

Car l’authentification ‘passwordless’, c’est-à-dire ne nécessitant aucun mot de passe, est devenue un sujet d’actualité, d’autant qu’elle est ouvertement promue par des géants de l’industrie high tech tels qu’Apple, Microsoft ou Linux.

Le ‘passwordless’ offre en effet plusieurs avantages. Le premier d’entre eux est bien sûr une amélioration de la sécurité, conséquence des faiblesses inhérentes des mots de passe utilisateur dans ce domaine, largement connues. D’après une récente enquête menée par Verizon aux Etats Unis, les mots de passe restent le plus gros vecteur de cyber attaque et leur usurpation est responsable de 81% des intrusions malveillantes dans les systèmes.

L’authentification ‘passwordless’ promet aussi une meilleure expérience utilisateur, car ce dernier n’a plus à mémoriser de mot de passe, et la procédure d’authentification est potentiellement plus simple.
L’absence de mot de passe génère aussi une réduction des frais de fonctionnement au sein des services informatiques dans les entreprises. Les mots de passe sont en effet lourds à gérer, et requièrent une maintenance constante.

Enfin, les services informatiques récupèrent ainsi la maîtrise complète de la gestion des identités et des accès, délivrés des failles incontrôlables des mots de passe (phishing, réutilisation, partage).

La fin du facteur d’authentification unique

Pour toutes ces raisons, nombreux sont ceux qui prédisent à terme la fin du mot de passe comme procédure d’authentification. Mais par quoi le remplacer ? De grands acteurs de l’industrie, tels Microsoft et Apple, préconisent des méthodes biométriques, telles que la lecture d’empreinte digitale ou la reconnaissance faciale.

Toutefois ces méthodes, bien que plus sûres qu’un simple mot de passe, ne sont pas adaptées à tous les scénarios d’accès, car elles présentent elles aussi des failles. En vérité, quelle que soit la méthode utilisée, le risque provient surtout du choix d’un mode d’authentification unique, qui finira toujours par être usurpé par des acteurs malveillants.

C’est la raison pour laquelle les différentes autorités nationales comme les récentes réglementations en matière de sécurité préconisent ou imposent désormais une authentification non pas à un mais à deux facteurs au moins.

L’authentification multifacteur ou MFA, déjà adoptée par de nombreux services web tels que Google et Facebook, impose une authentification avec au moins deux des trois facteurs suivants : quelque chose que l’utilisateur sait (mot de passe par exemple), quelque chose qu’il possède (ordinateur, smartphone) et ou quelque chose qui le caractérise en tant qu’individu (empreinte digitale, etc.).

Choisir la meilleure combinaison

L’authentification MFA représente un progrès majeur en matière de sécurité par rapport à un simple mot de passe, mais elle n’est pas forcément ‘passwordless’. Or il y a fort à parier qu’éliminer tout usage d’un mot de passe s’imposera à terme. Car une solution MFA mot de passe + second facteur conserve les défauts inhérents aux mots de passe (facilité d’usurpation, coûts de maintenance). Mieux vaut dès lors s’en passer définitivement, en adoptant une combinaison de facteurs qui offre le meilleur équilibre entre garantie de sécurité et simplicité d’utilisation.

L’éventail des solutions possibles permet d’adapter la combinaison choisie en fonction du niveau de risque associé à la demande d’accès et de la typologie de l’utilisateur : consommateur, client, partenaire ou collaborateur en interne. La plupart des solutions mises en œuvre aujourd’hui utilisent le smartphone comme support, en raison de son taux d’adoption massif. Les principaux facteurs qui s’imposent sont l’envoi d’une notification en ‘push’, l’identification biométrique via empreinte digitale ou reconnaissance faciale, et la géolocalisation via la puce GPS du smartphone.

L’envoi d’un code par SMS, déjà largement popularisé pour les paiements par carte bancaire, doit toutefois être réservé à des demandes d’accès à faible niveau de risque, en raison de sa relative simplicité d’usurpation.

Finyear & Chaineum

Lisez gratuitement le quotidien Finyear & sa newsletter quotidienne.
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en finance digitale, corporate finance & crypto finance.

Read for free The daily newspaper Finyear & its daily newsletter.
Receive the Finyear's newsletter every morning by email, a daily snapshot of the best news and expertise in digital finance, corporate finance & crypto finance.

------------------------

Chaineum :
Fondée en 2015, Chaineum est une boutique STO offrant une expertise de premier plan en matière d’ICO et STO, avec une vision stratégique orientée tant vers le métier de ses clients que sur la technologie blockchain. A ce titre, Chaineum a participé à la mise en œuvre de bonnes pratiques dans le secteur (ICO Charter, Security Token Network).
La division services blockchain de Chaineum, développe la technologie Chaineum Segment, une blockchain privée orientée objets.

About Chaineum:
Founded in 2015, Chaineum is a STO Boutique with a strong expertise in ICO and STO, and a strategic focus on both its clients' business and blockchain technology. As such, Chaineum paved the way in the implementation of certain best practices in this sector (ICO Charter, Security Token Network).
Chaineum's blockchain services division, is developing Chaineum Segment technology, an object-oriented private blockchain.

-------------------------

No Offer, Solicitation, Investment Advice, or Recommendations

This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.


Jeudi 5 Décembre 2019
Notez


Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Finyear: latest news, derniers articles