Les mots de passe constituent un élément important de la sécurité en ligne depuis l’aube d’Internet, et ils restent aujourd’hui la forme d’authentification la plus populaire. Cependant, avec l’augmentation des cyberattaques contre l’authentification par mot de passe et les violations de données très médiatisées, les mots de passe ne semblent plus être une solution sécurisée.
Alors, si les mots de passe comportent de sérieux risques de sécurité, pouvons-nous leur dire au revoir et utiliser à la place une connexion sans mot de passe ?
Quel est le problème avec l'utilisation de mots de passe ?
Bien que les mots de passe soient assez simples à utiliser et fonctionnent bien avec d’autres méthodes d’authentification, ils ne sont pas aussi sécurisés que nous le souhaiterions. Et la faute est principalement la nôtre.
La plupart des mots de passe mémorables ne sont pas forts, et la plupart des mots de passe forts ne sont pas faciles à retenir. Pour résoudre ce dilemme, nous pouvons créer un ou deux mots de passe presque indéchiffrables et les utiliser sur tous nos différents comptes et appareils en ligne. Le problème est que si l’un de vos mots de passe tombe entre de mauvaises mains, toutes les applications et services qui partagent ce mot de passe pourraient également être compromis.
Selon une étude de Verizon, plus de 80 % des violations de données liées au piratage sont dues à des mots de passe incorrects ou volés (soit une moyenne de 4 violations sur 5 dans le monde). Cela n'aide pas que de nombreuses personnes ne changent pas immédiatement leurs mots de passe par défaut (ou ne les changent pas du tout), et ces mots de passe sont parfois distribués via des forums de hackers.
Pendant ce temps, les outils de piratage de mots de passe sont de mieux en mieux capables de deviner les mots de passe, ce qui signifie que ce n'est qu'une question de temps avant qu'un mot de passe « décrypté » soit craqué. De plus, des mots de passe sont volés via des attaques d'ingénierie sociale et ces mots de passe deviennent de plus en plus sophistiqués grâce à l'intelligence artificielle (IA) - même ChatGPT a été surpris en train d'écrire des logiciels malveillants.
De plus, les mots de passe sont parfois envoyés sur des réseaux non sécurisés, ce qui fait de leur vol un jeu d'enfant pour les cybercriminels. Si vous avez déjà utilisé le WiFi dans votre café préféré, vous avez probablement commis cette erreur de sécurité.
Alors, si la sécurité des mots de passe ne peut plus être garantie, quelles sont les meilleures alternatives ?
Quelles sont les meilleures alternatives de mot de passe ?
Étant donné que les mots de passe statiques et les systèmes d'authentification par mot de passe unique peuvent entraîner de graves problèmes de sécurité, nous pouvons les remplacer par des solutions plus sécurisées et cesser de nous inquiéter à chaque fois que nous nous connectons. Mais quelles alternatives sont les meilleures pour des raisons de sécurité ?
1. Biométrie
Dans le contexte de la cybersécurité, la biométrie ou l'authentification biométrique est une méthode de sécurité qui examine les caractéristiques biologiques uniques d'une personne pour confirmer l'identité de cette personne, telles que les empreintes digitales, les scans rétiniens et les empreintes digitales, la vérification vocale ou la reconnaissance faciale.
Au contraire, comme les mots de passe sécurisés sont une combinaison de lettres majuscules et minuscules, de chiffres et de symboles – bref, difficiles à retenir – il est facile d’oublier ces mots de passe. Authentification biométrique sécurisée en utilisant des caractéristiques qui vous sont propres (c'est-à-dire votre visage, votre voix ou vos empreintes digitales) et vous ne l'oublierez jamais.
Alors que les cybercriminels peuvent utiliser une copie de votre visage, de votre voix ou de vos empreintes digitales lors d'une attaque de phishing, l'utilisation d'outils de sécurité intelligents et l'ajout de méthodes d'authentification supplémentaires peuvent réduire considérablement ce risque. L'utilisation de la biométrie réduit également le risque de phishing et d'autres types d'attaques d'ingénierie sociale.
Cependant, bien que la biométrie soit plus sécurisée et plus conviviale que les mots de passe, elle présente également certains inconvénients. Plus précisément, l’authentification biométrique nécessite du matériel et des logiciels spécialisés, ce qui peut rendre cette méthode coûteuse. De plus, les données biométriques sont assez privées, de sorte que certaines personnes peuvent se sentir mal à l'aise de les utiliser à des fins d'authentification.
2. Authentification multifacteur
Comme son nom l'indique, l'authentification multifacteur (en abrégé MFA) est une méthode d'authentification qui nécessite au moins deux facteurs de vérification avant d'autoriser l'accès à une application ou à un service en ligne.
Ainsi, au lieu de se contenter d’un nom d’utilisateur et d’un mot de passe statiques, la MFA nécessite des facteurs de vérification supplémentaires tels qu’un mot de passe à usage unique, une géolocalisation ou une analyse d’empreintes digitales. En garantissant que les informations d'identification des utilisateurs ne sont pas volées, la MFA contribue à réduire les risques de fraude ou d'usurpation d'identité.
Bien que l’authentification multifacteur soit plus sécurisée que la simple utilisation de mots de passe statiques, elle est également moins pratique car les utilisateurs doivent suivre plusieurs étapes. Par exemple, si vous perdez l'appareil que vous utilisez pour la deuxième authentification, vous pourriez être exclu de tous les comptes en ligne qui utilisent MFA.
3. Mot de passe à usage unique
Également connu sous le nom de mots de passe dynamiques, de codes PIN à usage unique et de codes d'autorisation à usage unique (OTAC), un mot de passe à usage unique (OTP) est un mot de passe qui ne peut être utilisé que pour une seule session de connexion. Ainsi, comme son nom l’indique, cette combinaison de caractères ne peut être utilisée qu’une seule fois, ce qui permet d’éviter certains des pièges des mots de passe statiques.
Bien que le nom de connexion de l'utilisateur reste le même, le mot de passe change à chaque nouvelle connexion. Ainsi, comme l’OTP ne peut pas être utilisé une seconde fois, son vol n’a aucun sens pour les cybercriminels, ce qui rend certains types d’usurpation d’identité inefficaces.
Les trois types d'OTP les plus courants sont l'authentification par SMS, par courrier électronique et par lien de courrier électronique (également appelé lien magique), et ils fournissent tous des informations de connexion simples et sécurisées aux utilisateurs. Puisqu’il n’y a pas de mots de passe statiques, il n’y a aucun risque que les utilisateurs ne s’en souviennent pas ou les perdent.
Cependant, OTP présente également quelques inconvénients et ils sont liés à la dépendance vis-à-vis du fournisseur de services : vous ne recevrez pas l'OTP ou le lien magique si le fournisseur de courrier électronique ou de SMS ne vous l'envoie pas. Même la livraison des e-mails peut être retardée en raison de la lenteur de la connexion Internet ou de facteurs similaires.
4. Connectez-vous aux réseaux sociaux
La connexion sociale est un processus qui permet aux utilisateurs de se connecter à des applications et plateformes en ligne en utilisant les informations des sites de réseaux sociaux (tels que Facebook, Twitter et LinkedIn) qu'ils utilisent actuellement. Ce formulaire de connexion simple et ultra-rapide constitue une alternative pratique à la création de compte standard et fastidieuse.
Cependant, les violations et les fuites ont amené de nombreux utilisateurs à se méfier des connexions sociales en termes de sécurité. Alors que les entreprises continuent de collecter les données des utilisateurs, les problèmes de confidentialité liés aux connexions sociales continuent de croître.
5. Authentifiez la clé de sécurité
Pour garantir que les bons utilisateurs ont accès aux bonnes données, ce type de MFA sécurise vos mots de passe en ajoutant une clé de sécurité, un appareil physique qui se branche sur votre ordinateur (via un port USB ou une connexion Bluetooth ) à chaque fois que vous signez dans un service qu'il protège.
Les clés de sécurité sont parfois confondues avec les jetons de sécurité, qui sont également des appareils physiques mais qui génèrent un code à 6 chiffres lorsque le MFA vous le demande. Bien qu’ils aient un seul objectif, ils ne sont pas les mêmes.
Même si les clés de sécurité peuvent protéger contre les attaques basées sur les mots de passe, elles constituent encore un acteur relativement nouveau dans la guerre de la cybersécurité. De plus, si votre clé de sécurité est volée ou perdue, cela devient un problème sérieux.