Les mots de passe constituent un élément essentiel de la sécurité en ligne depuis l’aube de l’internet, et ils restent la forme d’authentification la plus courante aujourd’hui. Cependant, avec l’augmentation des cyberattaques contre l’authentification par mot de passe et les violations de données désastreuses, les mots de passe statiques ne suffisent plus.
Alors, si les mots de passe présentent de sérieux risques pour la sécurité, pouvons-nous simplement nous en débarrasser et utiliser à la place des connexions sans mot de passe ?
Quel est le problème avec l’utilisation des mots de passe ?
Bien que les mots de passe soient relativement simples à utiliser et fonctionnent bien avec d’autres méthodes d’authentification, ils ne sont pas aussi sûrs que nous le souhaiterions. Et c’est en grande partie de notre faute.
La plupart des mots de passe faciles à retenir ne sont pas forts, et la plupart des mots de passe forts ne sont pas faciles à retenir. Pour faire face à ce dilemme, nous pouvons trouver un ou deux mots de passe presque indéchiffrables et les utiliser pour tous nos comptes en ligne et nos différents appareils. Le problème, c’est que si l’un de vos mots de passe tombe entre de mauvaises mains, toutes les applications et tous les services qui partagent ce mot de passe risquent également d’être compromis.
Selon une étude de Verizon, plus de 80 % des violations de données liées à un piratage sont dues à des mots de passe erronés ou volés, ce qui représente en moyenne quatre violations sur cinq dans le monde. Le fait que de nombreuses personnes ne modifient pas immédiatement (ou pas du tout) leurs mots de passe par défaut et que ceux-ci soient parfois diffusés sur des forums de pirates informatiques n’arrange rien.
Entre-temps, les outils de piratage de mots de passe deviennent de plus en plus performants pour deviner les mots de passe, ce qui signifie que ce n’est qu’une question de temps avant qu’un mot de passe « indéchiffrable » ne soit piraté. Les mots de passe sont également volés par le biais d’attaques d’ingénierie sociale, qui deviennent de plus en plus sophistiquées grâce à l’intelligence artificielle (IA) – même ChatGPT a été surpris en train d’écrire des logiciels malveillants.
De plus, les mots de passe sont parfois envoyés sur des réseaux non sécurisés, ce qui fait de leur vol un jeu d’enfant pour les cybercriminels. Si vous avez déjà utilisé le Wi-Fi dans votre café préféré, vous avez probablement commis ce péché de sécurité.
Alors, si les mots de passe ne peuvent pas faire l’affaire, quelles sont les alternatives les plus sûres ?
Quelles sont les meilleures alternatives aux mots de passe pour une meilleure sécurité ?
Les mots de passe statiques et les systèmes d’authentification à mot de passe unique peuvent poser de sérieux problèmes de sécurité. Nous pourrions donc les remplacer par des alternatives plus sûres et ne plus nous inquiéter pour notre sécurité en ligne. Mais quel est le meilleur mot de passe pour la sécurité ?
1. La biométrie
Dans le contexte de la cybersécurité, la biométrie ou l’authentification biométrique est une méthode de sécurité qui vérifie vos caractéristiques biologiques uniques pour confirmer votre identité. Qu’il s’agisse de la cartographie des empreintes digitales, des scans de la rétine, de la vérification de la voix ou de la reconnaissance faciale, la biométrie s’intéresse à vos identifiants uniques.
En revanche, comme un mot de passe sécurisé est une combinaison de lettres majuscules et minuscules, de chiffres et de symboles – en bref, difficile à retenir – il peut vous échapper comme si de rien n’était. L’authentification biométrique sécurisée signifie un seul mot de passe (c’est-à-dire votre visage, votre voix ou votre empreinte digitale) et vous ne l’oublierez jamais.
Bien que les cybercriminels puissent utiliser une copie de votre visage, de votre voix ou de votre empreinte digitale dans le cadre d’une attaque par usurpation d’identité, l’utilisation d’outils de sécurité intelligents et l’ajout de méthodes d’authentification supplémentaires peuvent réduire ce risque de manière significative. L’utilisation de la biométrie réduit également le risque de réussite des attaques de phishing et d’autres types d’ingénierie sociale.
Cependant, si la biométrie est plus sûre et plus conviviale que les mots de passe, elle présente également quelques inconvénients. En effet, l’authentification biométrique nécessite du matériel et des logiciels spécialisés, ce qui peut la rendre plus coûteuse. En outre, les données biométriques sont assez personnelles, de sorte que certaines personnes peuvent se sentir mal à l’aise lorsqu’elles les utilisent pour l’authentification.
2. Authentification multifactorielle
Comme son nom l’indique, l’authentification multifactorielle (ou MFA en abrégé) est une méthode d’authentification qui demande au moins deux facteurs de vérification avant d’autoriser l’accès à une application ou à un service en ligne.
Ainsi, au lieu de se contenter d’un nom d’utilisateur et d’un mot de passe statique, l’AMF demande des facteurs de vérification supplémentaires tels que des mots de passe à usage unique, la géolocalisation ou un balayage d’empreintes digitales. En s’assurant que les informations d’identification de l’utilisateur n’ont pas été volées, l’AMF réduit les risques de fraude ou d’usurpation d’identité.
Bien que l’AMF soit plus sûre que l’utilisation d’un mot de passe statique uniquement, elle est également moins pratique car les utilisateurs doivent effectuer plusieurs étapes. Par exemple, si vous perdez l’appareil que vous utilisez pour la deuxième authentification, vous risquez de vous retrouver bloqué sur tous vos comptes en ligne qui utilisent l’AFM.
3. Mots de passe à usage unique
Également appelés mots de passe dynamiques, codes PIN à usage unique et codes d’autorisation à usage unique (OTAC), les mots de passe à usage unique (OTP) sont des mots de passe qui ne peuvent être utilisés que pour une seule session de connexion. Ainsi, comme son nom l’indique, cette combinaison de caractères ne peut être utilisée qu’une seule fois, ce qui permet d’éviter certains défauts des mots de passe statiques.
Alors que les noms de connexion des utilisateurs restent les mêmes, le mot de passe change à chaque nouvelle connexion. Ainsi, puisqu’un OTP ne peut pas être utilisé une seconde fois, son vol n’a pas beaucoup de sens pour les cybercriminels, ce qui rend certains types d’usurpation d’identité inefficaces.
Les trois types d’OTP les plus courants sont l’authentification par SMS, l’authentification par courrier électronique et l’authentification par lien électronique (ou lien magique). Comme il n’y a pas de mots de passe statiques, il n’y a pas de risque que les utilisateurs ne s’en souviennent pas ou les perdent.
Cependant, les OTP présentent également quelques inconvénients, qui ont tout à voir avec la dépendance à l’égard du fournisseur de services : vous ne recevrez pas d’OTP ou de lien magique si votre fournisseur de courrier électronique ou de SMS ne vous l’envoie pas. Même les envois d’e-mails peuvent être retardés en raison d’une connexion Internet lente ou d’autres facteurs similaires.
La connexion sociale est un processus qui permet aux utilisateurs de se connecter à des applications et à des plateformes en ligne en utilisant les informations des sites de réseaux sociaux (tels que Facebook, Twitter et LinkedIn) qu’ils utilisent actuellement. Cette forme de connexion simple et ultra-rapide est une alternative pratique à la création de compte standard, qui prend du temps.
Cependant, les brèches et les fuites ont rendu de nombreux utilisateurs méfiants à l’égard de l’ouverture de session sociale en termes de sécurité. Étant donné que les entreprises continuent de collecter des données sur les utilisateurs, les inquiétudes relatives à la protection de la vie privée dans le cadre de l’identification sociale ne cessent de croître.
5. Authentification par clé de sécurité
Pour s’assurer que les bons utilisateurs ont accès aux bonnes données, ce type d’AFM sécurise vos mots de passe en ajoutant une « clé de sécurité », un dispositif physique qui est branché sur votre ordinateur (via un port USB ou une connexion Bluetooth) chaque fois que vous vous connectez à un service qu’il protège.
Les clés de sécurité sont parfois confondues avec les jetons de sécurité, qui sont également des dispositifs physiques, mais qui génèrent un code numérique à six chiffres lorsqu’ils sont sollicités par l’AMF. Bien qu’ils aient le même objectif, ils ne sont pas identiques.
Si les clés de sécurité permettent de lutter contre les attaques basées sur les mots de passe (phishing, credential stuffing, dictionnaire de mots de passe, etc.), elles sont encore relativement nouvelles dans le jeu de la cybersécurité, et ne sont donc peut-être pas là pour durer. En outre, le vol ou la perte de votre clé de sécurité constitue un problème majeur.
Autres alternatives aux mots de passe
L’une des alternatives les plus intéressantes aux mots de passe est un type d’authentification biométrique qui reconnaît les formes d’ondes typiques générées par le rythme cardiaque de chaque utilisateur et les utilise pour l’identification – il s’agit de la reconnaissance du rythme cardiaque. Bien qu’il doive être agréable de ne pas avoir à faire quoi que ce soit (à part être en vie) pour accéder à ses comptes, ce type d’authentification est destiné à des environnements hautement sécurisés et est trop coûteux pour un usage personnel.
Parmi les autres solutions de connexion plus sûres, on peut citer l’authentification par frappe (qui utilise le modèle de frappe unique de l’utilisateur pour confirmer son identité), l’authentification unique (qui permet à un utilisateur d’accéder à toutes ses applications et à tous ses services à l’aide d’un seul ensemble d’informations d’identification) et les clés d’accès (une connexion sans mot de passe qui oblige les utilisateurs à générer une nouvelle clé d’accès via un authentificateur chaque fois qu’ils veulent accéder à leurs applications et à leurs services).
Nous devrions également évoquer les gestionnaires de mots de passe, mais plutôt comme une amélioration que comme un remplacement des mots de passe – après tout, il s’agit d’un gestionnaire de mots de passe, et non d’un gestionnaire sans mot de passe. Ainsi, si vous préférez vous en tenir aux mots de passe, ce type d’outil peut vous aider à sécuriser vos informations d’identification, à générer des mots de passe forts et à stocker tous vos identifiants pour une expérience en ligne plus transparente.
L’avenir est-il sans mot de passe ?
Il existe plusieurs types d’authentification que vous pouvez utiliser sans saisir de mot de passe, mais seuls certains d’entre eux tentent d’éliminer complètement le mot de passe du processus, ce qui ne devrait pas être un problème. En combinant plusieurs méthodes d’authentification, il est possible d’éliminer un point de défaillance unique et de renforcer votre sécurité en ligne.
Pour ce qui est de l’avenir, nous nous attendons à ce que le marché de l’authentification sans mot de passe se développe, car de plus en plus d’organisations et de particuliers recherchent des solutions de sécurité capables de lutter contre les cyberattaques basées sur les mots de passe.