Les 5 principaux enseignements de la conférence Authenticate 2022
Co-auteurs : Rew Islam et Corentin Mors
Nous revenons de la conférence Authenticate 2022, qui est « la seule conférence de l'industrie dédiée au qui, quoi, pourquoi, et comment de l'authentification utilisateur, avec un accent sur l'approche basée sur les normes FIDO ». Si cela vous semble compliqué, c'est parce que ça l'est. Mais nous avons obtenu d'excellentes informations sur les clés d'accès, l'authentification sans mot de passe et l'authentification multifacteur et, en tant que spécialistes de l'authentification Dashlane, nous sommes là pour vous aider à comprendre tout cela.
Voici nos cinq principaux enseignements sur l'avenir de l'authentification.
Enseignement nº 1 : la migration des mots de passe aux clés d'accès a véritablement commencé.
L'un des plus grands changements en matière d'authentification est le passage des mots de passe aux clés d'accès. En termes simples, une clé d'accès est un identifiant de connexion sans mot de passe. Cette nouvelle norme utilise la cryptographie à clé publique pour authentifier votre accès à des sites Web et à des applications. Au lieu de devoir créer un mot de passe pour votre compte, vous installez un « authentificateur » pour générer une clé d'accès (une paire de clés cryptographiques associées).
L'authentificateur peut être votre smartphone, un autre appareil mobile ou de bureau, ou un gestionnaire de mots de passe qui prend en charge les clés d'accès. L'important est que ce soit quelque chose qui reste avec vous, et seulement vous.
Bien qu'aucune méthode authentification ne soit parfaitement sûre, plusieurs facteurs rendent les clés d'accès plus sécurisées que les mots de passe :
- Les clés d'accès ne peuvent pas être devinées ni réutilisées.
- Elles résistent aux tentatives d'hameçonnage. Comme les clés d'accès sont spécifiques à l'application ou au site Web pour lequel elles sont créées, un acteur malveillant ne peut pas vous amener à utiliser la clé d'accès sur un site d'apparence similaire ou frauduleux.
- Elles sont faciles à utiliser. Vous n'avez pas besoin de gérer des mots de passe standard, des mots de passe à usage unique (OTP) ou des codes PIN.
- Elles sont interopérables, ce qui signifie qu'elles fonctionnent sur tous les navigateurs et plateformes.
Peu de sites Web prennent actuellement en charge l'authentification par clé d'accès, mais cela devrait changer au fur et à mesure que les grandes entreprises technologiques l'intègrent à leurs plates-formes. Apple a déjà implémenté la prise en charge des clés d'accès sur iOS 16, iPadOS 16 et macOS Ventura pour les applications et les sites Web, et Google a également annoncé l'implémentation de l'authentification sans mot de passe sur les systèmes d'exploitation Android et Chrome.
Want to learn more about using Dashlane Password Manager at home or at work?
Check out our personal password manager plans or get started with a free business trial.
Enseignement nº 2 : la migration des mots de passe aux clés d'accès pourrait être lente.
Pas besoin de paniquer pour l'instant sur l'abandon de tous vos mots de passe et la modification de vos modes d'authentification. La période de transition entre les mots de passe et l'adoption des clés d'accès sera probablement longue et l'utilisation de ces deux modes restera valable dans un avenir prévisible.
Pour ceux qui s'intéressent à la nouvelle technologie et qui souhaitent l'adopter rapidement, certains sites Web, comme Paypal, ont déjà commencé à prendre en charge les mots de passe et les clés d'accès sur les appareils Apple. Si vous vous êtes connecté à Paypal récemment aux États-Unis, vous avez peut-être remarqué une invite qui vous suggère de migrer vers l'authentification par clé d'accès, et les nouveaux utilisateurs seront orientés tout d'abord vers les clés d'accès.
De nombreuses plateformes qui ne prennent pas encore en charge les clés d'accès commencent déjà à faire quelque chose de similaire : des applications comme Discord, Outlook, WhatsApp, entre autres, utilisent des codes QR pour autoriser des connexions sur plusieurs plateformes. Les gestionnaires de mot de passe qui prennent en charge les clés d'accès pourraient davantage simplifier ce flux à l'avenir.
Enseignement n° 3 : la qualité de l'expérience utilisateur sans mot de passe sera essentielle à une adoption précoce.
L'expérience utilisateur est toujours cruciale et cela s'applique tout particulièrement à l'expérience de l'authentification sans mot de passe. Une expérience agréable pourrait décider du sort de l'adoption de l'authentification sans mot de passe qui gagne de plus en plus du terrain. Bien que les gestionnaires de mots de passe simplifient les choses en remplissant automatiquement vos identifiants, il reste à voir à quoi ressemblera l'expérience utilisateur de l'authentification sans mot de passe sur chaque plateforme et gestionnaire de mots de passe.
La bonne nouvelle, c'est que les principaux acteurs de l'authentification sans mot de passe prennent déjà cela en considération. L'Alliance FIDO (« Fast IDentity Online »), un groupe qui travaille sur les normes et les technologies d'authentification depuis 2013, a récemment partagé son nouveau système de conception afin d'aider l'industrie à s'harmoniser et de simplifier l'expérience pour accroître son adoption.
Enseignement n° 4 : l'expérience de l'authentification par clé d'accès devrait être plus ouverte pour améliorer l'expérience utilisateur.
Les gestionnaires de mots de passe resteront des outils essentiels pour protéger vos comptes dans un avenir sans mot de passe.
Il existe quelques différences clés entre l'authentification sur appareils mobiles et sur appareils de bureau. Les applications constituent la méthode privilégiée pour accéder au contenu sur les appareils mobiles, alors que les navigateurs sont la méthode d'accès préférée au contenu sur les appareils de bureau. Habituellement, lors de la première authentification sur une application mobile, elle utilise une clé d'accès. Après cela, l'authentification se base sur la biométrie de l'appareil local, comme les empreintes digitales, une méthode que la plupart des utilisateurs d'appareils mobiles connaissent déjà.
Sur les navigateurs d'appareils de bureau, l'utilisation de clés d'accès pourrait être plus complexe. De nombreux navigateurs sont disponibles, et chaque combinaison de navigateur et de système d'exploitation offre une expérience unique en matière d'authentification par clé d'accès. C'est là que les gestionnaires de mots de passe peuvent contribuer à fournir une expérience utilisateur cohérente sur les différents navigateurs et systèmes d'exploitation.
Par conséquent, certains experts en authentification pensent que les gestionnaires de mots de passe devraient contrôler davantage l'expérience de l'authentification par clé d'accès sur les appareils de bureau, et nous sommes d'accord.
Enseignement n° 5 : l'authentification multifacteur doit être repensée.
L'authentification multifacteur (MFA) et la double authentification (2FA) offrent une couche de sécurité supplémentaire, mais cette technologie pourrait être améliorée. De nombreuses personnes ont l'habitude d'approuver les notifications push chaque fois qu'elles s'affichent et ont tendance à le faire sans y réfléchir (cela s'appelle souvent la fatigue MFA, qui est en partie responsable de la récente violation de la sécurité chez Uber).
Pour lutter contre cette fatigue, la MFA devrait être associée à une exigence de confirmation de l'intention, de sorte que les utilisateurs doivent s'arrêter et réfléchir une seconde avant de continuer. Par exemple, lors du processus de notification push, Google montre trois numéros parmi lesquels choisir (un peu comme la méthode CAPTCHA). C'est vraiment très simple, mais ce processus est suffisant pour vous faire réfléchir, « attends une minute, je n'essaie pas de me connecter à Google actuellement, alors qui c'est ? ».
Authenticate 2022 a été une conférence instructive et les informations qui nous ont été fournies ont renforcé la conviction que Dashlane peut vous aider à sécuriser vos connexions à l'avenir. Nous avons récemment lancé la prise en charge intégrée de l'authentification par clé d'accès, ce qui fait de nous les premiers de l'industrie à proposer une solution par clé d'accès intégrée au navigateur.
Que vous utilisiez des mots de passe ou des clés d'accès, vous pouvez les enregistrer dans Dashlane et vous connecter automatiquement sur tous les sites Web. Et notre architecture brevetée « zero-knowledge » signifie que nul autre que vous ne peut accéder à vos identifiants (même pas nous).
Vous voulez en savoir plus sur notre prise en charge intégrée de l'authentification par clé d'accès ? Notre article de blog, Ushering in the Passwordless Future at Dashlane, contient des informations exclusives.
Inscrivez-vous pour connaître toute l'actualité de Dashlane