Clé à emporter
- L'Alliance FIDO a publié un livre blanc analysant les lacunes qui empêchent sa norme d'authentification sans mot de passe de se généraliser.
- Les mécanismes d'authentification sans mot de passe n'ont pas réussi à remplacer les mots de passe car ils ne sont pas pratiques, suggère le livre blanc.
-
Il propose l'utilisation de smartphones comme clés de sécurité itinérantes.
Les mots de passe forts ne sont pas pratiques à créer et à gérer, mais l'ajout d'étapes et d'appareils supplémentaires au processus d'authentification est un véritable casse-tête.
C'est la conclusion d'un livre blanc de la Fast ID Online Alliance (FIDO), qui accuse les problèmes d'utilisabilité d'empêcher les mécanismes d'authentification sans mot de passe de se généraliser. Cependant, l'alliance a trouvé une solution pour résoudre le problème une fois pour toutes et rendre la norme d'authentification FIDO aussi omniprésente que les mots de passe.
"FIDO a dépassé toutes les attentes initiales", a déclaré Bill Leddy, vice-président des produits chez LoginID, à Lifewire par e-mail après avoir lu le livre blanc. "[Il] est vraiment proche de résoudre tous les [problèmes] d'authentification, mais il en faut un peu plus."
Annulation des mots de passe
Leddy pense que les mots de passe ont survécu à leur utilisation. Il accuse l'industrie de la sécurité d'avoir laissé tomber les gens en poussant des options faibles pendant trop longtemps.
"Les mots de passe ont maintenant 60 ans mais restent la principale option d'authentification pour la plupart des comptes. Les consommateurs ont de nombreux comptes différents et doivent se souvenir d'un mot de passe unique pour chacun. Ce n'est pas une solution pratique ", a affirmé Leddy. Il a ajouté que dans l'Internet d'aujourd'hui, où les sites Web peuvent être facilement clonés, le travail de l'industrie de la sécurité consiste à doter les gens des bons outils pour empêcher les violations de compte.
L'Alliance FIDO, une association industrielle ouverte, créée pour réduire la dépendance aux mots de passe, travaille sur la question depuis environ une décennie maintenant. Il a créé la norme d'authentification FIDO, qui n'a pas réussi à gagner du terrain. Dans le livre blanc, l'alliance pense avoir enfin identifié la pièce manquante du puzzle et a également défini une stratégie pour la surmonter.
Selon l'alliance, le mécanisme d'authentification sans mot de passe actuel de FIDO présente des problèmes d'utilisation inhérents qui l'ont empêché d'être largement adopté.
"[Nous] avons observé une adoption limitée [dans l'espace grand public], en raison des inconvénients perçus des clés de sécurité physiques (achat, enregistrement, transport, récupération) et des défis auxquels les consommateurs sont confrontés avec les authentificateurs de plate-forme (par ex.ex., avoir à réinscrire chaque nouvel appareil; aucun moyen facile de récupérer des appareils perdus ou volés) comme deuxième facteur », a noté le journal.
Pour surmonter les problèmes, le livre blanc appelle à utiliser nos smartphones comme authentificateurs itinérants ou comme clés de sécurité portables.
"L'appareil d'un utilisateur en tant qu'authentificateur itinérant est une excellente expérience utilisateur et beaucoup plus sécurisé que les mots de passe sur un appareil semi-fiable s'il est fait correctement. Étant donné que les nouveaux smartphones prennent en charge nativement FIDO et que les consommateurs sont rarement loin de leurs téléphones, il est une bonne option ", a convenu Leddy.
La voie à suivre
Cependant, le livre blanc suggère que pour que les smartphones réussissent en tant que clés de sécurité portables, FIDO doit concevoir un processus fluide permettant aux utilisateurs d'ajouter ou de basculer entre leurs appareils mobiles.
Il soutient que si le processus pour les tâches essentielles, telles que la configuration d'un nouveau téléphone ou le passage à un nouveau, n'est pas simple, alors les gens rejetteront probablement l'idée comme étant gênante. Pour éviter cela, le document propose d'introduire une nouvelle technique qu'ils appellent les informations d'identification FIDO multi-appareils, ou "passkeys".
"Les informations d'identification "passkey" multi-appareils répondent à une question de longue date concernant FIDO. La question était de savoir comment passer à un nouvel appareil si j'enregistrais 50 informations d'identification spécifiques à un domaine sur mon ancien appareil, puis en obtenais un nouveau Personne ne veut passer par la récupération de compte pour 50 services différents pour lier de nouvelles informations d'identification FIDO ", a expliqué Leddy.
FIDO affirme que les clés de sécurité aideront à éviter complètement cette situation en garantissant que lorsque nous passons d'un appareil à un autre, nos informations d'identification FIDO nous attendent déjà. Bien sûr, l'article est conceptuel, et Leddy pense qu'un tel mécanisme est plus facile à proposer qu'à mettre en œuvre.
"Il serait regrettable que les solutions de clé de sécurité soient spécifiques à un fournisseur afin qu'un consommateur ne puisse pas basculer entre les fabricants d'appareils ou même un ensemble hétérogène d'appareils (MacBook et téléphone Android)", a averti Leddy.
Cependant, il est convaincu que l'alliance FIDO, qui compte parmi ses membres des poids lourds tels qu'Apple, Meta, Google, PayPal, Wells Fargo, American Express et Bank of America, proposera des solutions qui ne t seulement universel mais également soigneusement contrôlé contre les attaques.
FIDO pense que les informations d'identification FIDO multi-appareils deviendront le dernier clou dans le cercueil des mots de passe. "En introduisant ces nouvelles fonctionnalités, nous espérons permettre aux sites Web et aux applications d'offrir une option véritablement sans mot de passe de bout en bout; aucun mot de passe ou mot de passe à usage unique (OTP) n'est requis", a déclaré l'alliance.