La Journée mondiale du mot de passe deviendra, tôt ou tard, une relique du passé si l’on considère les récents développements en matière d’authentification. La tendance est passée de mots de passe complexes à des mots de passe plus longs et mémorables, l’authentification sans mot de passe représentant l’étape suivante naturelle.
Tribune Zscaler – Les humains ont tendance à suivre des schémas prévisibles lorsqu’ils créent des mots de passe, comme placer des lettres majuscules au début ou des caractères spéciaux à la fin. En réponse, le National Institute of Standards and Technology (NIST) a mis à jour ses recommandations en 2017 pour privilégier les mots de passe longs, ou phrases secrètes / de passe, plutôt que les mots de passe complexes.
En combinant plusieurs mots en une seule chaîne longue, ces mots de passe deviennent mathématiquement beaucoup plus difficiles à casser tout en restant plus faciles à mémoriser pour les utilisateurs. Pourtant, même des années plus tard, ces recommandations ne sont pas largement adoptées.
Souvent, les organisations s’accrochent à des pratiques obsolètes fondées sur la complexité. Or, les stratégies de mot de passe faibles laissent des portes ouvertes aux menaces modernes. De nombreuses organisations et utilisateurs assimilent la complexité des mots de passe à une sécurité supérieure, alors qu’il a été prouvé que la longueur constitue une défense plus efficace contre des attaques telles que le craquage par force brute. Les normes réglementaires sont souvent en retard, tandis que les systèmes anciens imposent des contraintes techniques, comme des limites de caractères, qui rendent difficile l’adoption de phrases de passe plus longues. L’habitude de s’appuyer sur des mots de passe courts et complexes persiste parce que les utilisateurs et les organisations suivent ces schémas depuis des décennies, ce qui rend difficile la transition vers de nouvelles bonnes pratiques.
Cependant, le problème le plus important avec les mots de passe est le nombre croissant de violations de données causées par le vol de mots de passe et les attaques de type « adversaire au milieu » (Adversary-in-the-Middle, AiTM). De nombreuses méthodes d’authentification multifactorielle (MFA), telles que les codes à usage unique envoyés par SMS ou par mail, ou même les codes générés par des applications, sont vulnérables à l’interception lors d’attaques AiTM. Ces méthodes reposent sur des secrets partagés que les attaquants peuvent intercepter, rendant même les comptes protégés par MFA susceptibles aux tentatives de phishing sophistiquées qui imitent des sites légitimes pour voler les identifiants de connexion et les données de session.
En revanche, les méthodes d’authentification modernes comme les systèmes biométriques et les clés de sécurité physiques basées sur les normes FIDO2 offrent une protection solide. FIDO2, qui signifie « Fast Identity Online », utilise des dispositifs matériels (tels que des clés de sécurité USB) pour effectuer une authentification sécurisée. Contrairement à la MFA traditionnelle, FIDO2 emploie la cryptographie à clé publique, ce qui empêche le phishing et les attaques AiTM car les clés cryptographiques sont liées à l’appareil matériel et ne sont jamais partagées avec le fournisseur de services. En éliminant la dépendance aux mots de passe et aux méthodes MFA susceptibles d’être compromises, ces innovations ouvrent la voie à un avenir plus sûr, sans mot de passe.
La vérité est que la complexité n’égale pas une meilleure sécurité. Forcer les utilisateurs à naviguer dans des méthodes d’authentification alambiquées conduit souvent à de la frustration et à des raccourcis risqués, comme la réutilisation des mots de passe. Il est temps d’adopter des solutions qui simplifient l’expérience utilisateur comme les phrases de passe, les données biométriques et les technologies sans mot de passe (FIDO2), à des fins de confort, mais aussi pour offrir une meilleure sécurité face aux menaces en évolution.
Ce changement offre une protection renforcée et un accès simplifié aux ressources, prouvant que simplicité et sécurité peuvent coexister — c’est le fameux compromis gagnant-gagnant.
