Passkeys : méthode d’authentification forte des comptes Google

0
232

Google vient d’adopter les passkeys (clés d’accès) comme méthode d’authentification par défaut pour se connecter à un compte Google, un pas de plus vers un avenir sans mot de passe. A ce sujet, voici les commentaires de Rob Jenks, Vice-président Senior, Enterprise Strategy chez Tanium.

Après tant d’années passées à entendre parler de la fin programmée des mots de passe, cela va-t-il finir par arriver ?

“De nombreux utilisateurs rêvent du jour où les entreprises pourront s’affranchir de leur dépendance à l’égard des mots de passe et ainsi faire de la cybersécurité sans friction une réalité. Cependant, la plupart des professionnels de l’informatique et de la sécurité pensent que cet horizon est encore lointain. Le fait est qu’une myriade d’appareils et de systèmes existants sont des reliques vieillissantes qui reposent sur une authentification par mot de passe depuis des décennies. Il ne peut y avoir de retour en arrière pour ces systèmes hérités – tant qu’ils seront utilisés, nous dépendrons donc encore des mots de passe, même si ce n’est que dans une certaine mesure. Pour la plupart des organisations, cela signifie qu’elles doivent encore s’appuyer dessus. Néanmoins, cela ne signifie pas qu’il n’y aura pas d’avenir sans mot de passe dans les années à venir. Mais en attendant, les entreprises doivent toujours s’assurer de rester protégées. Les mots de passe exaspèrent généralement les utilisateurs en raison des frictions qu’ils créent. Personne n’aime mémoriser de longues chaînes de lettres, de chiffres et de symboles pour effectuer des opérations assez simples, mais les mots de passe faibles ont tendance à récompenser les mauvais acteurs, ce qui est bien sûr le problème sous-jacent. L’objectif de la suppression des mots de passe est de réduire ces frictions afin de simplifier l’authentification et les accès des utilisateurs. Ainsi, par essence, nous devrions considérer que “sans mot de passe” signifie “sans friction”, c’est-à-dire la simplification du processus de connexion pour les utilisateurs. Le problème, c’est que les mots de passe les plus sûrs sont généralement les plus difficiles à mémoriser, d’où un niveau élevé de friction. Un avenir sans mot de passe semble atteignable parce que nous disposons déjà des technologies nécessaires à son avènement. Toutefois, ces changements seront progressifs, à mesure que les applications migrent vers une authentification sans mot de passe.“

Quels sont les principaux cas d’utilisation de l’authentification sans mot de passe aujourd’hui ?

“Nous avons vu plusieurs des plus grandes entreprises technologiques comme Apple, Google et Microsoft être des précurseurs avec l’utilisation de la reconnaissance biométrique ou de la reconnaissance faciale. Ces approches peuvent constituer une alternative efficace aux mots de passe, car il est beaucoup plus difficile de falsifier les empreintes digitales ou le visage d’une personne que de deviner son mot de passe. Mais cela ne résout pas le problème de tous les systèmes hérités qui seront utilisés dans les années à venir.”

Selon vous, quelles sont les autres technologies prometteuses d’authentification multifactorielle sans friction et/ou sans mot de passe que peuvent utiliser les entreprises actuellement ?

“Les mots de passe ne suffisent pas à eux seuls. Ils doivent être renforcés par certains protocoles de sécurité “sans mot de passe” que nous utilisons depuis des années. L’authentification multifactorielle (MFA) est un concept ancien qui s’appuie sur quelque chose que vous possédez (un appareil ou une application) et quelque chose que vous connaissez (un captcha ou un compte existant) pour prouver votre identité unique et autoriser votre accès. La première méthode dont l’adoption a été massive est l’authentification à deux facteurs (2FA), dans laquelle exactement deux facteurs d’authentification sont requis. Or, les menaces devenant plus sophistiquées, les entreprises exigent désormais plus de deux facteurs pour mieux se protéger contre les attaques telles que le ‘credential stuffing’. Ces facteurs contribuent à rendre les organisations plus sûres, mais ils ajoutent également des frictions qu’un avenir sans mot de passe promet d’éliminer.

La seule véritable solution que j’imagine pour qu’un avenir sans mot de passe devienne réalité un jour, c’est que les organisations s’engagent à mettre à jour leurs systèmes et technologies existants. Au fur et à mesure que la technologie de l’organisation progresse et devient davantage basée sur le cloud, l’authentification peut évoluer en même temps qu’elle. Le processus est lent, mais s’il est mené à son terme, les organisations peuvent réduire le nombre de services pour lesquels les mots de passe sont nécessaires, puis le nombre de personnes qui doivent utiliser des mots de passe, avant de finalement les supprimer pour de bon.”

Quels sont les éléments les plus importants à prendre en compte pour élaborer une stratégie d’authentification moderne ?

“Nous devons combler le fossé entre le besoin de se doter de mots de passe forts et complexes et la nécessité de réduire les frictions pour les employés. Il existe une solution simple qui permet à la fois de réduire les frictions et d’améliorer la sécurité : les gestionnaires de mots de passe. Les organisations qui prennent la sécurité au sérieux peuvent proposer à leurs employés un abonnement à un gestionnaire de mots de passe qui leur évite d’avoir à se souvenir de mots de passe complexes, tout en leur fournissant des identifiants suffisamment sécurisés. En outre, les organisations devraient envisager d’utiliser des outils qui vérifient régulièrement si les mots de passe sont compromis, garantissant ainsi la robustesse des mots de passe utilisés.”