Ne soyez pas surpris si votre entreprise décide d'en finir avec les identifications par mots de passe. Une enquête réalisée le mois dernier aux États-Unis par Wakefield Research auprès de 200 décideurs IT montre que la majorité d’entre elles veut progressivement éliminer les systèmes d’authentification par mots de passe. Ainsi, 69 % des personnes interrogées ont déclaré que, dans les cinq prochaines années, l’usage des mots de passe aura sans doute complètement disparu de leur entreprise.
Selon SecureAuth, qui a commandé l’enquête, les systèmes d’identification par mots de passe, bien qu’étant la norme, sont devenus trop vulnérables au piratage. « Nous pouvons dire avec certitude que les solutions de connexion par mots de passe ne permettent pas de garantir une authentification sécurisée », a déclaré hier Craig Lund, le CEO de SecureAuth. Ajoutant que « les décideurs IT sont d’accord sur le sujet et tous cherchent d’autres solutions d’authentification ». Il faut toutefois préciser que SecureAuth vend des solutions alternatives aux systèmes de connexions par mots de passe.
Souvent un même mot de passe pour plusieurs services
À l’évidence, les récents piratages à grande échelle qui se sont traduits par le vol en nombre colossal d’identifiants de connexion leur donnent raison. Le mois dernier, Yahoo a révélé que le piratage de ses serveurs fin 2014 avait sans doute permis le vol des identifiants de 500 millions de comptes utilisateurs, notamment les adresses de messagerie et les hash de mots de passe. Et le fait que les utilisateurs choisissent souvent des mots de passe faciles à deviner pour sécuriser leurs comptes n’arrange rien au problème. Sans compter aussi que ces derniers utilisent le même mot de passe pour sécuriser les comptes d’autres services sur Internet.
Les systèmes d’authentification alternatifs, spécialité de SecureAuth, combinent souvent plusieurs méthodes. Mais l’entreprise propose aussi des solutions avec mots de passe à usage unique. La plupart du temps, le code est envoyé à l'utilisateur sur un téléphone ou une adresse e-mail enregistrée. Ce code, à usage unique et à durée limitée, lui sert ensuite à s’identifier sur le site et à accéder au service. D'autres méthodes de SecureAuth reposent sur la biométrie. Dans ce cas, le scan des empreintes digitales de l'utilisateur est nécessaire. « D’autres systèmes analysent le lieu et l’heure à laquelle l'utilisateur accède au service et vérifient qu’ils correspondent aux habitudes de l’utilisateur », a encore expliqué Craig Lund.
Combiner plusieurs méthodes d'identification
Certaines solutions de SecureAuth sont capables de suivre la frappe et les mouvements de la souris sur le terminal d'un utilisateur afin de détecter tout comportement atypique. « Un de nos clients est actuellement en train de supprimer complètement l’usage des mots de passe », a déclaré le CEO de la société. Dans le cas de cette entreprise, seuls certains appareils pré-enregistrés pourront accéder au réseau. Les terminaux concernés seront affectés à des utilisateurs spécifiques, et SecureAuth surveillera toute activité anormale, par exemple des connexions à distance depuis des lieux inhabituels ou des connexions à des heures où les utilisateurs ne travaillent pas. « En combinant ces méthodes, nous pouvons être sûrs de l’identité des utilisateurs et savoir de quel lieu ils se connectent », a déclaré Craig Lund.
Mais, même si de nombreuses entreprises veulent se débarrasser des mots de passe, il reste encore pas mal de défis à relever. Ainsi, toujours selon l'enquête de Wakefield Research, 42 % des personnes interrogées ont déclaré que le passage à un autre système d’authentification « risquait de perturber la routine des utilisateurs », ce qui représentait un frein pour engager un changement radical dans leurs habitudes. Mais 42 % ont aussi déclaré que les dirigeants de l'entreprise eux-mêmes n’étaient pas toujours favorables à cette évolution.