4 informations essentielles sur Authenticate 2024 fournies par un expert des clés d’identification chez Dashlane
Les clés d'identification sont un moyen plus sécurisé et pratique d'accéder aux sites Web et aux applications que les mots de passe, et elles sont résistantes au phishing. Dashlane a été le premier gestionnaire de mots de passe à prendre en charge les clés d'identification en 2022, et nous restons enthousiastes à l'idée de permettre à nos clients de bénéficier des dernières avancées en matière de sécurité des identifiants.
C'est pourquoi Dashlane a participé à la conférence Authenticate 2024, consacrée au thème de l'authentification des utilisateurs avec un accent particulier sur les clés d'identification, tenue entre le 14 et le 16 octobre à Carslbad, en Californie.
En plus de coparrainer la Passwordless Party (soirée sans mots de passe) de la conférence aux côtés de Google, Dashlane a envoyé des représentants des équipes produit, design, ingénierie, marketing et vente. En tant que chef de produit principal, j'ai eu l'occasion d'intervenir lors d'une session, tout comme mon collègue Rew Islam, directeur de l'innovation produit. De plus, Nuno Silva, designer produit principal, a participé à une discussion de groupe lors de la plénière des membres de l'Alliance FIDO qui s'est tenue après la conférence.
Tout a été couvert en trois jours seulement, j'ai donc compilé les principaux enseignements que mes collègues et moi-même avons tirés d'Authenticate 2024 sur le présent et l'avenir de l'authentification des utilisateurs.
#1 : L'adoption des clés d'identification est en pleine croissance, mais il y a encore du chemin à faire
Nous avons progressé dans notre quête collective de clés d'identification, mais il reste encore beaucoup à faire pour accroître l'adoption, réduire les risques de phishing et transformer l'environnement des connexions.
- Les clés d'identification synchronisées ont été annoncées en juin 2022. Les clés d'identification synchronisées peuvent être utilisées pour accéder aux services à partir de n'importe quel appareil, à la différence des clés d'identification liées à un appareil qui donnent l'accès à partir d'un appareil physique spécifique, comme une clé matérielle. (Dashlane enregistre et saisit automatiquement les clés d'identification synchronisées que vous pouvez utiliser pour vous connecter depuis n'importe quel ordinateur de bureau ou appareil mobile.)
- L'adoption des clés d'identification a pris de l'ampleur. Les discours liminaires ont fait état d'un milliard de personnes dans le monde entier qui ont choisi et utilisent des clés d'identification. Plusieurs participants à la conférence ont parlé des avantages observés de l'utilisation des clés d'identification, tels que la réduction du temps de connexion, la diminution des verrouillages de compte et la réduction des coûts d'exploitation (en raison de la suppression des services OTP par SMS par exemple, qui augmentent également des risques de phishing).
- Malgré ces chiffres encourageants, le constat dominant est que nous n'en sommes encore qu'au début du processus d'adoption des clés d'identification. Ce constat a été fait non seulement au cours de multiples sessions de la conférence, mais également lors d'entretiens informels avec les participants. Bien sûr, nous avons un milliard d'utilisateurs qui se servent d'au moins une clé d'identification, mais la majorité de leurs identifiants comportent probablement toujours un mot de passe.
Dashlane a été le premier gestionnaire de mots de passe à prendre en charge les clés d'identification sur le Web, Android et iOS. Jetez un coup d'œil sur notre parcours.
#2 : Les utilisateurs sont plus susceptibles d'adopter les clés d'identification lorsqu'ils y sont invités
Le développement de normes d'authentification sécurisées et la mise en œuvre des clés d'identification dans votre service ne suffisent pas. Il est essentiel de modifier le comportement des utilisateurs à grande échelle pour réellement supprimer les risques de phishing et permettre aux clés d'identification de tenir leurs promesses. Les nudges sont une voie potentielle pour parvenir à ce changement de comportement.
- L'adoption des clés d'identification pourrait être améliorée par des avancées qui soulagent les utilisateurs individuels de la nécessité de modifier leurs habitudes en matière de sécurité des identifiants, notamment la génération automatique de clés d'identification sur les sites Web et applications prises en charge (et l'enregistrement automatique de ces clés d'identification dans votre coffre-fort Dashlane : c'est pour bientôt !)
- Les nudges étaient au centre des discussions à Authenticate ! L'idée d'inviter en douceur les utilisateurs à améliorer leurs habitudes de connexion a été mentionnée lors des entretiens avec des représentants de Google, Microsoft, Amazon et bien d'autres.
- Les parties utilisatrices (sites internet et applications prenant en charge la connexion via des clés d'identification) ont indiqué une hausse du taux d'adoption des clés d'identification lorsqu'elles ont mis en œuvre des flux permettant aux utilisateurs de choisir les clés d'identification en contexte. Par exemple, il est possible de masquer l'option de créer un mot de passe et de garder « créer une clé d'identification » comme option par défaut lors de l'enregistrement du compte. Les nudges ont été mis en évidence comme un moyen d'inviter les utilisateurs à passer à des connexions plus pratiques (et sécurisées) en contexte.
- Les intervenants à la conférence ont déclaré qu'on ne saurait parler de « trop » lorsqu'il s'agit des nudges. En effet, pour eux, les nudges incitent leurs utilisateurs à s'inscrire et commencer à utiliser une méthode de connexion plus pratique et sécurisée. Des recherches menées auprès des utilisateurs ont révélé d'excellentes occasions lors desquelles des nudges liés aux clés d'identification peuvent être proposés aux utilisateurs : lors de la récupération de compte ou de la réinitialisation de mots de passe ; lors de l'enregistrement d'un nouveau compte ; et même lors de la connexion à un compte existant à l'aide d'un mot de passe.
Dashlane aide les entreprises à se frayer un chemin vers des scores de sécurité plus élevés. En savoir plus.
#3 : L'industrie est impatiente d'adopter le protocole d'échange d'identifiants (CXP)
Le protocole d'échange d'identifiants garantit un transfert sécurisé des données et offre la flexibilité nécessaire pour prendre en charge divers cas d'utilisation au-delà du mouvement massif des éléments du coffre-fort.
- Les spécifications sont encore à une étape préliminaire, mais nous prévoyons lancer des versions plus abouties au premier trimestre 2025.
- Les normes d'échange d'identifiants ont été développées par plusieurs entreprises au sein de l'Alliance FIDO, y compris Dashlane. Ce niveau de collaboration entre les entreprises est un signe clair que l'industrie dans son ensemble accorde la priorité aux choix des utilisateurs et à la portabilité des données.
- Nous avons fait de grands progrès en dépit des défis généralement posés par le développement de normes.
Nous travaillons au sein de l'Alliance FIDO pour créer CXP et une autre norme standard, le format d'échange d'identifiants. En savoir plus sur les deux.
#4 : La récupération de compte reste un défi pour les entreprises et les utilisateurs
La récupération de compte reste un défi pour les adeptes des clés d'identification. Cela est vrai non seulement pour les sites internet et les applications qui cherchent à remplacer les mots de passe par des clés d'identification pour leurs utilisateurs, mais également pour les entreprises qui essaient d'aider leurs employés à passer à la méthode sans mots de passe avec le déploiement interne des clés d'identification.
- FIDO est bien placée pour explorer des solutions de récupération résistantes au phishing à l'avenir.
- Un flux de récupération de compte sécurisé et facile à utiliser est un préalable à la mise en place d'un système sans mot de passe. Les clés d'identification sont résistantes au phishing, de sorte que le passage des mots de passe aux clés d'identification crée moins d'opportunités pour les cybercriminels. Le flux de récupération de compte devient ensuite une aubaine pour des cybercriminels qui essaient d'accéder à un compte.
- Certains témoignages au sujet des clés d'identification partagés lors de la conférence ne sont que des réussites partielles. Les clés d'identification sont destinées à remplacer les mots de passe, mais, certaines entreprises qui ont déployé les clés d'identification proposent toujours des mots de passe pour chaque compte et ne les supprimeront pas avant que des options de récupération acceptables ne soient disponibles.
Dashlane propose une solution de récupération de compte sécurisée et intuitive En savoir plus sur la clé de récupération de compte.
Une autre conférence Authenticate pleine d'enseignements vient de se terminer, mais le travail d'amélioration de la sécurité et de la commodité de l'authentification des utilisateurs se poursuit au quotidien. À mesure que les clés d'identification gagnent en popularité et que la technologie évolue, mes collègues experts chez Dashlane et moi-même restons focalisés sur la tâche à accomplir : optimiser l'authentification des utilisateurs.
Inscrivez-vous pour connaître toute l'actualité de Dashlane
