La réponse à une meilleure sécurité réside-t-elle dans des expériences sans mot de passe ?

Une authentification véritablement sans mot de passe permettant aux utilisateurs de contrôler les informations personnelles est essentielle pour éviter le vol d’identité et les piratages de données.

Les mots de passe sont une méthode d’authentification fiable et familière depuis des années. Leur commodité les rend également faciles à pirater. Environ 20 % des utilisateurs choisiront leur année de naissance si on leur demande de créer un code PIN à quatre chiffres et les habitudes similaires abondent avec les mots de passe. À notre désavantage, nous sommes devenus tellement dépendants des mots de passe que, même lorsque des piratages de données se produisent presque quotidiennement et qu’on nous dit de changer nos mots de passe, près de la moitié des consommateurs n’en tiennent pas compte.

Les mots de passe n’ont pas réussi à suivre le rythme de croissance des services en ligne sur lesquels nous comptons. En termes simples, ils n’offrent pas le type de protection nécessaire aux fraudeurs actuels, qui exploitent de plus en plus leurs faiblesses en matière de sécurité et de convivialité des mots de passe.

Où sont les mots de passe qui manquent ?

Cela se résume en grande partie aux habitudes des utilisateurs en matière de mots de passe. Le consommateur moyen est lié à environ 90 comptes en ligne nécessitant un mot de passe, ce qui rend pratiquement impossible la mémorisation de chaque mot de passe. En effet, les utilisateurs recycleront le même mot de passe sur plusieurs applications, conformément à la stratégie d’un service (limite de caractères, par exemple). Ils utiliseront également le même courrier électronique sur de nombreux services. C’est ce que l’on appelle la réutilisation des informations d’identification.

Environ 81 % des piratages de données majeures sont causées par des mots de passe hackés ou faibles. Les pirates informatiques obtiennent illégalement des informations d’identification par le biais du phishing ou d’un piratage antérieure qu’ils conserveront pour eux-mêmes ou qu’ils mettront à disposition pour la revente sur le Dark Web. Les hackeurs achètent des bibliothèques de mots de passe et lancent des attaques automatisées de réutilisation des identifiants, en faisant correspondre les mots de passe obtenus avec les bibliothèques de l’application ou des applications non associées. Par exemple, si le compte de détail préféré de Jane a été piraté et qu’elle utilise le même identifiant de connexion dans sa banque, le compte bancaire de Jane est désormais en péril, même si la banque elle-même n’a pas été piratée et qu’elle est bien sécurisée.

Les attaques de ce type donnent un taux de réussite de 2 %. Cela peut sembler un petit pourcentage, mais ce montant équivaut à plus de 46 millions de comptes piratés avec succès. Avec des millions de références en vrac grâce aux piratages de données massives et aux centaines d’applications valables offertes par les entreprises (généralement dans les services financiers), l’environnement de cybersécurité actuel ne fera qu’empirer.

Une autre cause courante, mais encore méconnue, est que les entreprises à la fois piratées et à court terme s’appuient souvent sur des magasins d’informations d’identification centralisés pour les clients, les clients et les données internes. S’appuyant sur une base de données unique et centralisée, les utilisateurs ne peuvent plus accéder aux informations d’identification des utilisateurs de grandes quantités de mots de passe deviennent facilement disponibles pour les pirates et les criminels doivent les acheter. Pour cette raison, les bases de données centrales, à savoir les banques de mots de passe, sont la cible favorite des pirates. Il en va de même pour les numéros de carte bancaire tels que les données de carte de crédit et de débit. Selon Experian, les informations sur les cartes de crédit qui sont plus populaires que les cartes de débit sur le Dark Web peuvent se vendre entre 5 et 110 dollars, selon les informations qui y sont liées (c.-à-d. CVV, informations bancaires, numéro de sécurité sociale, etc.).

Du point de vue de la convivialité, les expériences sans mot de passe sont excellentes. Du point de vue de la sécurité, cependant, il ne s’agit que de fonctionnalités pratiques superposées aux systèmes vulnérables, y compris ceux basés sur USB. Dans la plupart des cas, la biométrie sur l’appareil déverrouille simplement l’appareil, insère un mot de passe et actionne une clé de stockage. Les systèmes internes de l’entreprise, tels que l’authentification unique (SSO), masquent également l’existence d’un magasin d’informations d’identification centralisé.

Les expériences sans mot de passe suffiront-elles à sécuriser nos données ?

Pour mettre en œuvre de véritables expériences sans mot de passe avec une meilleure sécurité globale, les entreprises doivent se tourner vers une authentification décentralisée. La décentralisation élimine entièrement le mot de passe et permet à une entreprise ou à un fournisseur de services de communiquer avec les utilisateurs via l’infrastructure à clé publique (PKI). L’infrastructure à clé publique est un ensemble de rôles, de matériel et de logiciels, de règles et de procédures nécessaires pour créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques et le chiffrement à clé publique. Dans notre monde connecté, les PKI créent des signatures numériques pour créer des identifiants uniques pour les personnes et les appareils, qui peuvent être authentifiés avec précision à grande échelle.

L’application d’un fournisseur de services, par exemple, peut prendre en charge la biométrie décentralisée ou les numéros d’identification personnels, qui sont détenus et portés uniquement par l’utilisateur. Qu’il se connecte, vérifie son identité ou autorise une transaction, le système communique avec le fournisseur de services en envoyant un jeton plutôt que le modèle biométrique de l’utilisateur (sous quelque forme que ce soit, chiffré ou non) ou son code PIN réseaux. Les utilisateurs disposeront de tout ce dont ils ont besoin sur leurs smartphones et autres appareils pour effectuer des transactions, sans intermédiaire au milieu, pour redonner le contrôle à leur place. Cela élimine également le magasin d’informations d’identification de masse sur le business end.

Pour éviter l’usurpation d’identité et réduire le risque de piratage massive des informations d’identification, il est temps que les consommateurs et les entreprises repensent la manière dont nous authentifions actuellement les utilisateurs. L’utilisation et le stockage traditionnels des mots de passe ne suffisent plus à conserver nos informations personnelles, personnelles. Les connexions sans mot de passe sont un bon début, mais pour prospérer dans un monde où nos informations sont constamment menacées, les entreprises doivent mettre en œuvre des expériences sans mot de passe qui conservent les informations d’identification personnelles. Sinon, nous pouvons nous attendre à voir davantage de piratages.

A lire aussi : Un geste de la main pourrait être votre prochain mot de passe.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage