Les connexions sans mot de passe échangent-elles votre confidentialité pour votre sécurité?
Les connexions sans mot de passe sont la méthode de connexion la plus sécurisée si vous n'aimez pas créer des mots de passe complexes et les changer tous les quelques mois. Et vous n'aurez besoin de le configurer qu'une seule fois. Plus besoin d'oublier les mots de passe ou de les écrire sur papier.
Mais comment fonctionnent les connexions sans mot de passe? Et sont-ils sécurisés et privés?
Que sont les connexions sans mot de passe et comment fonctionnent-elles?
Les connexions sans mot de passe sont une méthode d'authentification d'identité qui vous permet d'accéder aux plates-formes, comptes et systèmes informatiques en ligne sans avoir besoin d'un mot de passe.
Une connexion sans mot de passe peut être quelque chose que vous avez sur vous, comme une clé USB. Cela peut aussi être votre biométrie; par exemple, votre empreinte digitale ou votre visage. Certaines connexions sans mot de passe fonctionnent sur la base d'un code ou d'un lien que vous recevez en temps réel, comme un SMS ou un e-mail.
Avec les mots de passe traditionnels, le site Web ou l'appareil auquel vous essayez de vous connecter a une copie de votre mot de passe. Lorsque vous entrez vos informations de connexion, elles sont comparées à ce qui est stocké sur les serveurs de l'entreprise et ne vous permettent d'entrer qu'en cas de correspondance. Mais c'est là que se pose le problème des mots de passe traditionnels.
On vous dit toujours de protéger vos mots de passe en ne les écrivant nulle part et en utilisant un gestionnaire de mots de passe avec un cryptage de bout en bout. Mais les sites Web auxquels vous vous connectez à l'aide de votre mot de passe le stockent également, ce qui signifie qu'une violation ou une fuite de données pourrait exposer vos mots de passe les plus sécurisés, surtout s'ils ne sont pas cryptés.
L'authentification sans mot de passe est différente. En ce qui concerne les codes d'authentification ou les liens, le site Web ne connaît que votre adresse e-mail ou votre numéro de téléphone. Ils vous envoient un lien ou un code temporaire à usage unique pour vous connecter à votre compte. En cas de violation de données, seule votre adresse e-mail ou votre numéro est divulgué, mais rien d'autre.
Connexions sans mot de passe vs authentification à deux facteurs (2FA)
Les deux concepts ont quelques similitudes mais ne doivent pas être confondus. 2FA repose toujours sur un mot de passe. Si le mot de passe est faible ou compromis, la moitié du travail du pirate est déjà fait pour eux.
Cela laisse la sécurité de votre compte dépendante de la deuxième méthode d'authentification. Cela va des messages SMS 2FA – que les pirates peuvent facilement contourner – et des générateurs de mots de passe à usage unique (OTP) à la biométrie et aux clés physiques.
Les connexions sans mot de passe suppriment la moitié faible du processus 2FA en renonçant complètement aux mots de passe. Ils s'appuient entièrement sur la deuxième méthode de connexion, offrant différents niveaux de sécurité.
Qu'en est-il de la reconnaissance faciale?
Vous pensez peut-être, qu'en est-il de la reconnaissance faciale? Est-ce sécurisé? Et est-ce que je sacrifie ma vie privée en l'utilisant?
Face ID fonctionne différemment des mots de passe.
Les identifiants de connexion de visage, tels que ceux utilisés par les iPhones, ne prennent pas seulement une photo de votre visage. La caméra de votre iPhone capture votre visage sous forme de données, analysant plus de 30000 points invisibles que le logiciel projette sur votre visage pour créer un motif qui vous est unique.
Chaque fois que vous montrez votre visage à la caméra frontale, votre téléphone analyse le motif qu'il perçoit et détermine s'il est suffisamment similaire au visage de son propriétaire.
Maintenant, cela ressemble terriblement au fonctionnement des mots de passe traditionnels. La seule exception est que votre visage et d'autres données biométriques sont stockés sur votre appareil. Sinon, vous ne pourrez pas accéder à votre téléphone sans connexion Internet. Cependant, cela ne signifie pas automatiquement que l'utilisation de Face ID pour se connecter est privée.
Différentes entreprises ont des politiques de confidentialité différentes. Si vous êtes préoccupé par votre vie privée, traitez-le comme si vous donniez votre numéro de téléphone ou vos informations de carte de crédit. Lisez les politiques de confidentialité de l'entreprise et assurez-vous qu'elle n'utilise pas vos données d'une manière que vous n'approuvez pas.
Pour revenir à l'exemple précédent, Apple ne stocke votre biométrique que localement sur votre iPhone et non sur leurs serveurs privés. À moins qu'ils ne modifient leur politique de confidentialité, Apple ne saura pas à quoi vous ressemblez.
Les connexions sans mot de passe sont-elles sécurisées?
La confidentialité et la sécurité ne sont pas synonymes . Par exemple, utiliser un mot de passe faible mais ne pas l'écrire ou le dire à qui que ce soit est un mot de passe privé, mais ce n'est pas un mot de passe sécurisé. La même chose s'applique aux connexions sans mot de passe.
Les connexions sans mot de passe peuvent parfois offrir plus de sécurité que les mots de passe, mais parfois moins, selon les circonstances. Par exemple, si vous perdez votre téléphone ou votre ordinateur portable et que quelqu'un parvient à contourner le verrouillage de l'appareil, il peut désormais se connecter à n'importe quel site Web ou compte qui utilise l'authentification sans mot de passe, car il a accès à vos e-mails et SMS.
Sinon, si vous utilisez l'authentification sans mot de passe pour sécuriser vos comptes, les pirates ne peuvent pas deviner votre mot de passe car il n'y en a pas.
Ils ne pourront pas non plus effectuer d'attaques par force brute ou trouver vos identifiants dans une base de données divulguée. Afin d'éviter le premier scénario, il est essentiel que l'appareil ou le compte que vous utilisez dans l'authentification sans mot de passe soit aussi sécurisé que possible.
Qu'en est-il de la biométrie?
Avec les mots de passe, vous pouvez les sécuriser et les stocker dans un endroit sûr. Mais qu'en est-il de la biométrie? Révélez-vous votre "mot de passe" chaque fois que vous publiez un selfie haute définition en ligne ou que vous touchez des objets sans porter de gants?
Le fait que Face ID puisse être trompé ou non dépend principalement de la qualité du logiciel de reconnaissance faciale. En 2018, un visage imprimé en 3D a été utilisé pour essayer de tromper le verrouillage d'identification de visage de l'iPhone, mais il a échoué, contrairement à son homologue Android.
De plus, le Face ID d'Apple est sensible à l'attention . Votre téléphone peut reconnaître si vos yeux sont ouverts et si vous regardez l'appareil photo ou non. Cela garantit que personne ne déverrouille votre iPhone sans votre permission, même pendant votre sommeil.
Il en va de même pour la reconnaissance vocale et les empreintes digitales. Aucune technologie n'est sécurisée à 100%. Cependant, certains sont plus sécurisés que d'autres, en fonction de la quantité de travail que l'entreprise consacre à la sécurité.
Si votre appareil, quelle que soit la marque, prend en charge les connexions biométriques sans mot de passe, effectuez une recherche rapide sur Google des incidents où des personnes ont pu contourner le verrou. De cette façon, vous pouvez évaluer ses niveaux de sécurité avant de le confier à votre téléphone ou ordinateur portable.
L'avenir des connexions sans mot de passe
Les connexions sans mot de passe sont l'avenir, mais ce n'est pas le présent.
Bien que de nombreuses entreprises soient des pionnières dans le domaine, offrant des options d'authentification sans mot de passe assez sécurisées à leurs utilisateurs, elle n'est toujours pas largement utilisée. Jusqu'à ce que tous les sites Web que vous utilisez passent régulièrement à des connexions sans mot de passe, vous devez vous en tenir aux gestionnaires de mots de passe et à une 2FA forte.