Comment les clés FIDO vont accélérer un futur sans mot de passe

L'Alliance FIDO est une norme ouverte qui permet aux utilisateurs de s'authentifier via un login cryptographique hautement sécurisé, résistant au phishing et facile à mettre en œuvre.

Les mots de passe constituent encore aujourd'hui le principal moyen de protéger une grande partie de notre infrastructure. Cependant, bien qu'ils soient la méthode de sécurité par excellence, les mots de passe sont intrinsèquement problématiques et continueront de l'être à mesure que la technologie évoluera. Les mots de passe sont basés sur la connaissance, ce qui signifie qu'ils peuvent facilement être devinés ou volés. Ils sont également une source de frustration pour les utilisateurs, ce qui peut avoir un impact négatif sur la productivité des employés, la satisfaction des clients et donc les revenus.

L’Alliance FIDO : une solution complète pour un avenir sans mot de passe

L'une des évolutions récentes les plus populaires dans le domaine du sans mot de passe est l’Alliance FIDO (Fast Identity Online). L’Alliance FIDO est une norme ouverte qui permet aux utilisateurs de s'authentifier via un login cryptographique hautement sécurisé, résistant au phishing et facile à mettre en œuvre. FIDO2, le dernier protocole en date, exploite les appareils physiques des utilisateurs pour stocker localement les informations d'identification sur du matériel sécurisé et signer les défis d'authentification. L'annonce conjointe d'Apple, de Google et de Microsoft de prendre en charge le sans mot de passe est une déclaration claire que FIDO est la voie à suivre pour aller vers un avenir sans mot de passe, ce qui en fait la nouvelle norme. Les clés éliminent les obstacles les plus courants à l'adoption de la FIDO en permettant aux utilisateurs de s'inscrire à la FIDO une seule fois, en partageant le justificatif d'identité entre les appareils de la même plateforme, et en étant capable d'exploiter les appareils FIDO enregistrés sur une plateforme pour s'authentifier lors de la connexion à partir d'une autre plateforme.

Problèmes initiaux avec FIDO

L’enregistrement et facilité d'utilisation font parties des revers des clés FIDO. L'un des problèmes initiaux de la FIDO était qu'elle devait encore utiliser des mécanismes d'authentification plus faibles lors du processus d'enregistrement initial. La première fois que vous enregistriez un dispositif de la plateforme FIDO, vous deviez lier votre authentification utilisateur à cette plateforme sur ce dispositif. Cela signifie que si vous essayez de vous connecter à partir d'un autre dispositif de la plateforme que vous possédez, vous devrez d'abord vous authentifier à l'aide d'une autre méthode avant que le site ou l'application ne vous donne accès. Ensuite, une fois l'accès autorisé, vous devriez également enregistrer ce nouvel appareil afin de pouvoir utiliser la FIDO sur cet appareil par la suite. Ce processus devrait être répété sur chacun des appareils que vous utilisez pour accéder au site.

Il est facile de voir comment la facilité d'utilisation est alors devenue une tâche fastidieuse, rendant les organisations réticentes à abandonner les mots de passe et les expériences de connexion familières. Pour que la FIDO puisse réaliser sa vision du passwordless et de la menace des attaques courantes par mot de passe, il fallait qu'elle soit totalement adoptée comme moyen principal et unique d'authentification des utilisateurs. En outre, l'incapacité à éliminer complètement les mots de passe a finalement entraîné des problèmes de récupération. Les utilisateurs ont fini par avoir toujours besoin d'accéder à au moins deux dispositifs FIDO au cas où ils en perdraient un pour pouvoir récupérer leur compte. Comme vous pouvez le constater, il y avait une pléthore d'énigmes associées à FIDO.

Comment les clés de passe FIDO présentent une solution

Les problèmes de la FIDO étaient évidents, mais il existait une solution pour l'améliorer et rester sur la voie d'un avenir sans mot de passe. C'est là qu'intervient l'introduction des clés FIDO. Il s'agit d'un ajout comportemental à la spécification et à la mise en œuvre. Les clés FIDO constituent un moyen plus efficace pour un utilisateur d'inscrire ses dispositifs FIDO et de s'enregistrer sur de nouveaux sites lors de la configuration initiale. En outre, les clés FIDO ne nécessitent pas de processus fastidieux de sauvegarde ou de récupération. Vous pouvez simplement inscrire ou désinscrire des dispositifs avec une sauvegarde dans le cloud de votre fournisseur de services. Les passkeys accélèrent également l'adoption de la FIDO dans les entreprises. Désormais, les informations d'identification FIDO ne sont plus liées à un appareil spécifique, mais sont automatiquement synchronisées avec le cloud, ce qui rend l'inscription et la récupération des comptes plus simples et plus résilientes. Les passkeys peuvent aussi partager les informations d'identification entre différentes plateformes de fournisseurs. 

L'adoption de la FIDO et l'abandon progressif de l'absence de mot de passe est une initiative à part entière poussée par les grandes entreprises technologiques, et nous assistons actuellement à l'examen d'améliorations plus prometteuses. Certaines de ces améliorations sont destinées à répondre aux exigences de différents secteurs du marché. D'autres prévoient de créer une expérience utilisateur facile, sûre et familière en intégrant l'authentification par certificat numérique FIDO dans le gestionnaire de mots de passe du navigateur, faisant de l'authentification une évidence pour les utilisateurs.

Les compromis de l'adoption des clés de passe

Les passkeys FIDO constituent une étape nouvelle et passionnante vers un avenir sans mot de passe. Cela dit, malgré la pléthore d'avantages qu'ils offrent, les mots de passe ne sont pas encore une solution miracle. Les organisations doivent tenir compte des points suivants avant de se lancer dans l'adoption des clés de sécurité. Les mots de passe sont stockés dans le cloud et nécessitent donc un examen approfondi de vos contrôles de sécurité du cloud. Les clés sont gérées par la plateforme de support, c'est-à-dire Google, Microsoft, etc. Par conséquent, les organisations doivent accepter le fait qu'un tiers non seulement jouera un rôle actif dans l'authentification des utilisateurs, mais exigera également des utilisateurs qu'ils activent la sauvegarde dans le cloud.

Des serveurs FIDO sont encore nécessaires pour commencer à utiliser les passkeys. Ces serveurs ne sont fournis par aucune des plateformes de support. En outre, lorsqu'elles envisagent l'adoption des passkeys et de la FIDO en général, les entreprises doivent également tenir compte du fait que la FIDO est toujours une norme évolutive qui présente actuellement différentes phases de maturité de mise en œuvre sur différentes plateformes et navigateurs.