Qu’est-ce que l’authentification sans mot de passe (passwordless) ?
Dans le langage courant, “sans mot de passe” est une abréviation pour “authentification sans mot de passe”.
Les informations que les utilisateurs peuvent fournir pour l’authentification peuvent être principalement classées en trois types :
- Quelque chose que l’utilisateur connaît, comme les mots de passe, les questions et réponses de récupération de mot de passe (souvent, les questions et réponses sont basées sur des expériences personnelles passées).
- Quelque chose que l’utilisateur possède, comme un téléphone portable, un mot de passe à usage unique (OTP), ou un jeton matériel.
- Quelque chose que l’utilisateur est, comme les empreintes digitales, la reconnaissance faciale et d’autres identifiants biométriques.
L’authentification sans mot de passe est une méthode d’authentification qui permet aux utilisateurs de se connecter à des systèmes informatiques sans entrer (ou se souvenir) d’un mot de passe ou de tout autre secret basé sur la connaissance. Dans les mises en œuvre les plus courantes, les utilisateurs doivent entrer leur identifiant utilisateur (nom d’utilisateur, adresse e-mail, numéro de téléphone, etc.) puis compléter le processus d’authentification en fournissant une preuve sécurisée de leur identité par d’autres moyens.
Pourquoi utiliser l’authentification sans mot de passe (passwordless) ?
Bien que l’utilisation des mots de passe diminue progressivement, ils sont encore largement utilisés dans le monde entier. La raison principale est que les systèmes basés sur des mots de passe sont les plus faciles et les moins coûteux à mettre en œuvre.
De plus, les mots de passe sont la principale cause des violations de données. Pour les rendre plus faciles à retenir, beaucoup de gens utilisent des motifs fixes dans leurs mots de passe, comme utiliser des anniversaires ou des combinaisons de lettres sur un pavé numérique pour les mots de passe purement numériques. Cela rend le piratage de mots de passe beaucoup plus facile. En réalité, beaucoup de gens utilisent inconsciemment le même mot de passe sur plusieurs plateformes, augmentant ainsi le risque de compromission du mot de passe.
Enfin et surtout, les mots de passe sont un casse-tête pour les utilisateurs : ils sont difficiles à retenir et lourds à gérer. Pour éviter d’utiliser un mot de passe unifié dans tous les scénarios, les utilisateurs ont besoin d’outils dédiés pour enregistrer divers mots de passe. De plus, comme les mots de passe sont utilisés à différents endroits, ils peuvent avoir besoin d’être consultés constamment. Cela pose un inconvénient significatif à l’utilisation des mots de passe.
D’un autre côté, les technologies sans mot de passe comme la biométrie ou l’OTP sont très pratiques et conviviales. Idéalement, les utilisateurs pourraient authentifier instantanément avec leur biométrie à tout moment et en tout lieu. Dans le monde d’aujourd’hui où les téléphones portables sont indispensables, toutes les vérifications liées à “quelque chose que l’utilisateur possède” peuvent généralement être effectuées via le téléphone.
Quelle est la différence entre l’authentification sans mot de passe et l’authentification multi-facteurs (MFA) ?
L’authentification sans mot de passe et l’authentification multi-facteurs (MFA) sont parfois mentionnées dans des contextes similaires. Il est donc nécessaire de définir ces deux termes séparément et de comprendre la différence entre eux :
- L’authentification sans mot de passe remplace l’authentification par mot de passe par d’autres facteurs.
- La MFA se réfère à l’utilisation de deux facteurs d’authentification ou plus pour vérifier l’identité d’un utilisateur.
Les “facteurs” sont sérieusement les trois types différents d’informations d’autorisation que nous avons mentionnés plus tôt. Par exemple, si un utilisateur utilise uniquement une adresse e-mail + OTP lors de l’authentification, cela est un facteur associé à “quelque chose que l’utilisateur possède”, et nous pouvons considérer que l’authentification de l’utilisateur est sans mot de passe.
Les mises en œuvre courantes de la MFA incluent l’utilisation d’un deuxième facteur (sans mot de passe) pour renforcer un mot de passe, mais la MFA peut également être complètement sans mot de passe. Par exemple, une application pourrait utiliser une empreinte digitale comme premier facteur d’authentification et une adresse e-mail + OTP comme second facteur d’authentification.
Quelle est la différence entre l’authentification sans mot de passe et le SSO ?
Sur la base de la définition précédente de l’authentification sans mot de passe, le SSO est un type de méthode sans mot de passe (l’utilisateur possède un compte pour le fournisseur SSO).
De plus, les comptes fournisseurs SSO ont généralement une haute sécurité. Outre les noms d’utilisateur et les mots de passe, la plupart des cas nécessitent une MFA obligatoire pour garantir que les utilisateurs ont un contrôle complet sur le compte. La MFA implique souvent l’utilisation de la vérification par facteur sans mot de passe, y compris mais sans s’y limiter aux passkeys, OTP et empreintes digitales.