Ne soyez pas surpris si votre entreprise décide d'en finir avec les identifications par mots de passe. Une enquête réalisée le mois dernier aux États-Unis par Wakefield Research auprès de 200 décideurs IT montre que la majorité d’entre elles veut progressivement éliminer les systèmes d’authentification par mots de passe. Ainsi, 69 % des personnes interrogées ont déclaré que, dans les cinq prochaines années, l’usage des mots de passe aura sans doute complètement disparu de leur entreprise.
Selon SecureAuth, qui a commandé l’enquête, les systèmes d’identification par mots de passe, bien qu’étant la norme, sont devenus trop vulnérables au piratage. « Nous pouvons dire avec certitude que les solutions de connexion par mots de passe ne permettent pas de garantir une authentification sécurisée », a déclaré hier Craig Lund, le CEO de SecureAuth. Ajoutant que « les décideurs IT sont d’accord sur le sujet et tous cherchent d’autres solutions d’authentification ». Il faut toutefois préciser que SecureAuth vend des solutions alternatives aux systèmes de connexions par mots de passe.
Souvent un même mot de passe pour plusieurs services
À l’évidence, les récents piratages à grande échelle qui se sont traduits par le vol en nombre colossal d’identifiants de connexion leur donnent raison. Le mois dernier, Yahoo a révélé que le piratage de ses serveurs fin 2014 avait sans doute permis le vol des identifiants de 500 millions de comptes utilisateurs, notamment les adresses de messagerie et les hash de mots de passe. Et le fait que les utilisateurs choisissent souvent des mots de passe faciles à deviner pour sécuriser leurs comptes n’arrange rien au problème. Sans compter aussi que ces derniers utilisent le même mot de passe pour sécuriser les comptes d’autres services sur Internet.
Les systèmes d’authentification alternatifs, spécialité de SecureAuth, combinent souvent plusieurs méthodes. Mais l’entreprise propose aussi des solutions avec mots de passe à usage unique. La plupart du temps, le code est envoyé à l'utilisateur sur un téléphone ou une adresse e-mail enregistrée. Ce code, à usage unique et à durée limitée, lui sert ensuite à s’identifier sur le site et à accéder au service. D'autres méthodes de SecureAuth reposent sur la biométrie. Dans ce cas, le scan des empreintes digitales de l'utilisateur est nécessaire. « D’autres systèmes analysent le lieu et l’heure à laquelle l'utilisateur accède au service et vérifient qu’ils correspondent aux habitudes de l’utilisateur », a encore expliqué Craig Lund.
Combiner plusieurs méthodes d'identification
Certaines solutions de SecureAuth sont capables de suivre la frappe et les mouvements de la souris sur le terminal d'un utilisateur afin de détecter tout comportement atypique. « Un de nos clients est actuellement en train de supprimer complètement l’usage des mots de passe », a déclaré le CEO de la société. Dans le cas de cette entreprise, seuls certains appareils pré-enregistrés pourront accéder au réseau. Les terminaux concernés seront affectés à des utilisateurs spécifiques, et SecureAuth surveillera toute activité anormale, par exemple des connexions à distance depuis des lieux inhabituels ou des connexions à des heures où les utilisateurs ne travaillent pas. « En combinant ces méthodes, nous pouvons être sûrs de l’identité des utilisateurs et savoir de quel lieu ils se connectent », a déclaré Craig Lund.
Mais, même si de nombreuses entreprises veulent se débarrasser des mots de passe, il reste encore pas mal de défis à relever. Ainsi, toujours selon l'enquête de Wakefield Research, 42 % des personnes interrogées ont déclaré que le passage à un autre système d’authentification « risquait de perturber la routine des utilisateurs », ce qui représentait un frein pour engager un changement radical dans leurs habitudes. Mais 42 % ont aussi déclaré que les dirigeants de l'entreprise eux-mêmes n’étaient pas toujours favorables à cette évolution.
Bonjour,
Signaler un abusIl me semble que cet article passe directement du mot de passe à abandonner à des techniques élaborées de type OTP ou biométrie, ou un peu plus aléatoires (comportementales), au catalogue de SecureAuth. Entre les deux, l'authentification à 2 facteurs semble simple et fiable : 1 token USB avec certificat (ce que l'on possède), 1 PIN associé (ce que l'on sait). Même si le PIN, semblable à un mot de passe, est de mauvaise qualité et craqué, il faut en plus se faire voler le certificat USB ... Le déploiement des tokens peut sembler cher mais il est à comparer au déploiement de lecteurs biométriques sur les postes de l'entreprise.
"Et le fait que les utilisateurs choisissent souvent des mots de passe faciles à deviner pour sécuriser leurs comptes n’arrange rien..."
Signaler un abusOn pourrait donc imaginer des mots de passe pas simple, mais facile à se rappeller. Par exemple une phrase lue dans un livre. Une formule mathématique... Mais de mémoire, j'ai rarement rencontré un utilisateur (même important) qui voulait bien imaginer un mot de passe fort. Les raisons de cette faiblesse... Nous les connaissons tous... Ça fait mal à la tête ;-)) Néanmoins de plus en plus d'utilisateurs et surtout d'utilisatrices voient leur travail plombé par les mots de passe. Je pense aux secrétaires auxquelles, ont demande de se rappeler de leurs mots de passe, puis les mots de passe de leurs patrons. C'est absurde. Cela montre le mépris des personnes de l'IT et des dirigeants pour les outils de communication (à part leur mobile) Bon, il exite le "porte-clés" mais ça devient un problème aussi... Au final le help desk ne sert qu'à faire des reset de mots de passe. Encore une fois on voit, ou plutot on ignore l'absurdité de ce problème si il n'est pas remonté à qui de droit.... En ce qui me concerne passer la journée à faire de reset ça me va :-). Mais ce n'est pas très productif. Pour moi, pour vous, pour tout le monde :-))