Logo Logo
GitHub Designed by Logto

Qu’est-ce que l’authentification sans mot de passe (passwordless) ?

Dans le langage courant, “passwordless” est l’abréviation de “authentification sans mot de passe”.

Les informations que les utilisateurs peuvent fournir pour l’authentification peuvent être principalement classées en trois types :

  1. Quelque chose que l’utilisateur connaît, comme des mots de passe, des questions et réponses de récupération de mot de passe (souvent basées sur des expériences personnelles passées).
  2. Quelque chose que l’utilisateur possède, comme un téléphone mobile, Mot de passe à usage unique (One-time password, OTP) , ou un jeton matériel.
  3. Quelque chose que l’utilisateur est, comme les empreintes digitales, la reconnaissance faciale et d’autres identifiants biométriques.

L’authentification sans mot de passe est une méthode d’authentification qui permet aux utilisateurs de se connecter à des systèmes informatiques sans entrer (ou se souvenir) d’un mot de passe ou de tout autre secret basé sur la connaissance. Dans les implémentations les plus courantes, les utilisateurs doivent entrer leur identifiant utilisateur (nom d’utilisateur, adresse e-mail, numéro de téléphone, etc.) puis compléter le processus d’authentification en fournissant une preuve sécurisée d’identité par d’autres moyens.

Pourquoi utiliser l’authentification sans mot de passe ?

Bien que l’utilisation des mots de passe diminue progressivement, ils sont encore largement utilisés dans le monde entier. La principale raison est que les systèmes basés sur les mots de passe sont les plus faciles et les moins chers à mettre en œuvre.

De plus, les mots de passe sont la principale cause des violations de données. Pour les rendre plus faciles à retenir, beaucoup de gens utilisent des motifs fixes dans leurs mots de passe, comme utiliser des anniversaires ou des combinaisons de lettres d’un pavé numérique pour des mots de passe purement numériques. Cela rend le craquage des mots de passe beaucoup plus facile. En réalité, beaucoup de gens utilisent inconsciemment le même mot de passe sur plusieurs plateformes, augmentant encore le risque de compromission des mots de passe.

Enfin, les mots de passe sont une contrainte pour les utilisateurs : ils sont difficiles à retenir et fastidieux à gérer. Pour éviter d’utiliser un mot de passe unifié dans tous les scénarios, les utilisateurs ont besoin d’outils dédiés pour enregistrer divers mots de passe. De plus, comme les mots de passe sont utilisés à différents endroits, ils peuvent avoir besoin d’être constamment consultés. Cela pose un inconvénient significatif à l’utilisation des mots de passe.

D’un autre côté, les technologies sans mot de passe comme la biométrie ou l’OTP sont très pratiques et conviviales. Idéalement, les utilisateurs pourraient s’authentifier instantanément avec leur biométrie à tout moment et en tout lieu. Dans le monde d’aujourd’hui où les téléphones mobiles sont indispensables, toutes les vérifications liées à “quelque chose que l’utilisateur possède” peuvent généralement être effectuées via le téléphone.

Quelle est la différence entre l’authentification sans mot de passe et l’authentification multi-facteurs (MFA) ?

L’authentification sans mot de passe et Authentification multi-facteurs (Multi-factor authentication, MFA) sont parfois mentionnées dans des contextes similaires. Par conséquent, il est nécessaire de définir ces deux termes séparément et de comprendre la différence entre eux :

  • L’authentification sans mot de passe remplace l’authentification basée sur un mot de passe par d’autres facteurs.
  • La MFA fait référence à l’utilisation de deux facteurs d’authentification ou plus pour vérifier l’identité d’un utilisateur.

Les “facteurs” sont sérieusement les trois différents types d’informations d’autorisation que nous avons mentionnés précédemment. Par exemple, si un utilisateur n’utilise qu’une adresse e-mail + OTP lors de l’authentification, il s’agit d’un facteur associé à “quelque chose que l’utilisateur possède”, et nous pouvons considérer que l’authentification de l’utilisateur est sans mot de passe.

Les implémentations courantes de MFA incluent l’utilisation d’un deuxième facteur d’authentification (sans mot de passe) pour renforcer un mot de passe, mais la MFA peut également être complètement sans mot de passe. Par exemple, une application pourrait utiliser une empreinte digitale comme premier facteur d’authentification et une adresse e-mail + OTP comme deuxième facteur d’authentification.

Quelle est la différence entre passwordless et SSO ?

Sur la base de la définition précédente de passwordless, Authentification unique (Single sign-on, SSO) est un type de méthode sans mot de passe (l’utilisateur possède un compte pour le fournisseur SSO).

De plus, les comptes de fournisseur SSO ont généralement une haute sécurité. Outre les noms d’utilisateur et les mots de passe, la plupart des cas nécessitent une MFA obligatoire pour garantir que les utilisateurs ont un contrôle total du compte. La MFA implique souvent l’utilisation de la vérification de facteurs sans mot de passe, y compris mais sans s’y limiter aux passkeys, OTP et empreintes digitales.

Voir aussi