Cet article est également disponible en : Anglais, Allemand, Espagnol

Qu’est-ce que l’authentification sans mot de passe et pourquoi s’y intéresser ?

Cet article est également disponible en : Anglais, Allemand, Espagnol

Les mots de passe sont les clés de votre vie numérique. Il y a peu de comptes ou d’applications en ligne auxquels vous pouvez accéder sans eux. Malheureusement, les acteurs malveillants n’ont pas à chercher bien loin pour trouver ces clés. Même si vous êtes un consommateur averti et que vous prenez toutes les mesures nécessaires pour protéger vos mots de passe, ceux-ci peuvent toujours être compromis si votre fournisseur de services subit une violation de données. 

C’est pourquoi la tendance émergente de l’authentification sans mot de passe est si excitante : vous pourrez cesser de vous fier aux mots de passe et éliminer l’un des plus grands risques pour la sécurité de votre compte. Même s’il faudra un certain temps pour que cette tendance se généralise, plusieurs entreprises proposent déjà l’authentification sans mot de passe, ce qui signifie que c’est le moment de vous lancer. Explication

Vous voulez en savoir plus sur l’utilisation d’un gestionnaire de mots de passe ?

Découvrez nos forfaits individuel ou commencez par un essai gratuit.

Qu’est-ce que l’authentification sans mot de passe ?

L’authentification fait généralement intervenir un ou plusieurs de ces facteurs :

  • Ce que vous savez : un secret comme un mot de passe ou une réponse à une question de sécurité
  • Ce que vous êtes : traits du visage, empreinte digitale ou toute autre forme d’identification biométrique.
  • Ce que vous possédez : votre appareil mobile, un outil d’authentification ou une clé matérielle.

Comme son nom l’indique, l’authentification sans mot de passe vous permet d’authentifier votre identité sans utiliser de secret partagé. Vous n’avez pas besoin de créer, de stocker ou de gérer des mots de passe tout en étant en mesure de vous connecter à vos comptes en toute simplicité.

Dans le monde physique, un équivalent de l’authentification sans mot de passe est une carte clé. Au lieu de saisir des chiffres sur un clavier, il vous suffit d’agiter votre carte pour accéder à votre espace de travail, votre salle de sport ou toute autre zone à accès restreint. 

Outre la biométrie et le matériel, les méthodes d’authentification sans mot de passe les plus courantes dans le monde numérique sont les suivantes :

  • Clé d’accès : un identifiant sans mot de passe basé sur la cryptographie à clé publique 
  • Code d’accès à usage unique : un code d’accès ou mot de passe qui vous est envoyé par SMS ou par e-mail.
  • Lien magique : un lien de connexion qui vous est envoyé par e-mail à l’adresse enregistrée.

Comment fonctionne l’authentification sans mot de passe ?

Non seulement l’authentification sans mot de passe ne partage aucun secret avec le site Web ou l’application, mais elle ne les stocke pas non plus chez le fournisseur. La différence avec les mots de passe c’est qu’il faut un échange d’informations pour vérifier leur exactitude. 

À titre d’exemple, voici à quoi ressemble le processus d’authentification sans mot de passe pour les clés d’accès :

Un authentificateur – généralement un appareil mobile ou un gestionnaire de mots de passe qui prend en charge l’authentification sans mot de passe – génère une paire de clés cryptographiques, l’une publique et l’autre privée, lorsque vous enregistrez votre nouveau compte ou que vous activez les clés d’accès sur les comptes qui les prennent en charge. Le fournisseur de services ou le site web et votre authentificateur communiquent directement en échangeant les clés.

La clé publique est envoyée au serveur du fournisseur pour être stockée, mais cette clé n’a aucune valeur pour le pirate, tout comme votre nom d’utilisateur. 

La clé privée reste secrète et n’est stockée que dans votre authentificateur. Lorsque vous essayez de vous connecter, le serveur envoie un défi à l’authentificateur (des données aléatoires pour prouver que vous êtes la personne qui se connecte). La clé privée résout le défi et renvoie la réponse, ce qui revient à « signer » ces données avec la clé privée.

Les clés sont mathématiquement liées, ce qui signifie que lorsque les données signées sont renvoyées au serveur, celui-ci peut les vérifier à l’aide de la clé publique, mais il n’a pas besoin de connaître la clé pour les valider.

Graphique illustrant le fonctionnement de l'enregistrement par clés d’accès : un serveur de site Web charge une page d'enregistrement, un navigateur crée une clé de sécurité et un authentificateur l'authentifie. Une clé publique et une clé privée sont créées, la clé privée reste avec l'authentificateur, et la clé publique est envoyée au serveur du site Web, qui la stocke. Le graphique illustre également le fonctionnement de la connexion : le serveur d'un site Web envoie un défi à un navigateur, qui envoie un défi à un authentificateur, qui signe le défi à l'aide d'une clé privée. Il renvoie ensuite le défi signé au serveur du site Web, qui vérifie le défi à l'aide de la clé publique stockée.

Pourquoi l’authentification sans mot de passe est-elle plus sûre ?

L’authentification sans mot de passe permet de pallier plusieurs faiblesses des mots de passe que les cybercriminels tentent d’exploiter. Voici quelques-unes des plus importantes :

  • Credential stuffing : les pirates utilisent des identifiants faibles et volés pour accéder à d’autres sites web, alors qu’ils ne peuvent pas faire de même avec l’authentification sans mot de passe.
  • Hameçonnage et ingénierie sociale : dans le cas des clés d’accès, les acteurs malveillants ne peuvent pas vous inciter à utiliser les clés d’accès sur un site similaire ou frauduleux, car les clés d’accès sont uniques à l’application ou au site Web pour lequel elles ont été créées.
  • Vol d’indentifiants : l’authentification sans mot de passe n’étant pas stockée chez le fournisseur de services, les cybercriminels ne peuvent pas voler ces identifiants en piratant le serveur ou la base de données du fournisseur.
  • Mots de passe faibles ou réutilisés : l’un des plus grands défis en matière de mots de passe est le manque d’hygiène : de nombreuses personnes réutilisent leurs mots de passe ou créent des mots de passe faciles à retenir, et il ne faut pas longtemps aux pirates pour les craquer.

Aucune méthode de sécurité n’est jamais infaillible, mais l’authentification sans mot de passe est plusieurs crans au-dessus des mots de passe lorsqu’il s’agit de sécuriser vos informations. On peut dire que l’authentification sans mot de passe est la voie de l’avenir, et cet avenir est enfin arrivé. C’est pourquoi Dashlane a récemment lancé la prise en charge intégrée des clés d’accès. 

Avec Dashlane, vous pouvez vous connecter automatiquement sur n’importe quel site Web, que vous ayez adopté l’authentification sans mot de passe ou que vous utilisiez toujours des mots de passe.

En savoir plus sur l’excitante fonctionnalité de prise en charge des clés d’accès de Dashlane.