histats

Qu’est-ce que l’authentification sans mot de passe et comment est-elle mise en œuvre

Qu’est-ce que l’authentification sans mot de passe et comment est-elle mise en œuvre

L’authentification sans mot de passe est une méthode d’administration des utilisateurs dans laquelle l’utilisateur se connecte à un système ou à une application sans utiliser de mot de passe ou de secret. Au lieu d’utiliser un basé sur la connaissance facteur (par exemple mot de passe), il valide l’identité d’un utilisateur avec soit posséder facteurs (par exemple compte de messagerie), ou inhérent facteurs (par exemple la reconnaissance faciale).

Cet article a été créé en collaboration avec Frontegg. Merci de soutenir les partenaires qui rendent SitePoint possible.

Il existe de nombreuses méthodes d’authentification utilisées comme alternatives de mot de passe :

  • Code à usage unique (OTC)
  • Liens magiques
  • Connexion biométrique (empreinte digitale, FaceID, reconnaissance vocale)
  • Cartes à puce ou jetons physiques
  • Certificats numériques

Méthodes d'authentification sans mot de passe

La popularité de l’authentification sans mot de passe

Vous utilisez peut-être déjà “l’authentification sans mot de passe” sans le savoir. De nombreuses applications bancaires utilisent les empreintes digitales et la reconnaissance vocale pour authentifier les utilisateurs. Comme on le sait, Slack utilise des liens magiques pour authentifier les utilisateurs.

L’utilisation de l’authentification sans mot de passe n’a cessé de croître ces dernières années. Auth0, un fournisseur d’authentification, prédit que l’authentification sans mot de passe prendra le pas sur l’utilisation des mots de passe d’ici 2027. Gartner a prédit que d’ici 2022, 60 % des grandes entreprises mondiales et 90 % des entreprises de taille moyenne mettront en œuvre des méthodes sans mot de passe dans plus de 50 % des cas. des cas d’utilisation – contre 5% en 2018 ‘.

Les principaux acteurs en ligne font également de leur mieux pour accélérer l’introduction de la technologie. Lors de la Journée mondiale du mot de passe en 2022, Google, Microsoft et Apple ont annoncé leur intention d’étendre la prise en charge d’une norme commune de connexion sans mot de passe.
En juin 2022, Apple a annoncé sa nouvelle fonctionnalité “Passkeys” à utiliser pour se connecter aux sites Web et aux applications. Cette annonce signifie essentiellement qu’Apple utilisera Touch ID ou Face ID pour créer une clé numérique pour ce site. Cela élimine le besoin de créer et d’écrire un mot de passe.

Avantages de l’authentification sans mot de passe

L’authentification sans mot de passe offre des avantages en termes de sécurité et d’expérience utilisateur :

  1. Réduit le risque de phishing et de vol de mot de passe : Les utilisateurs ne sont pas exposés aux attaques de phishing lorsqu’ils sont dirigés vers de faux sites Web et fournissent leurs informations de connexion. Si un utilisateur ne saisit pas de mot de passe, il ne sera pas vulnérable aux attaques par force brute, aux violations de mot de passe et à d’autres types de vol d’informations d’identification.
  2. Réduit la réutilisation des identifiants : La réutilisation de mots de passe sur plusieurs services et comptes crée un risque accru pour vos utilisateurs et systèmes qui ne peut être évité. Il a été rapporté que 64% des personnes ont utilisé le même mot de passe qui a été révélé lors d’une violation pour d’autres comptes.
  3. Plus d’exercices de mémoire : Vos utilisateurs ne sont pas obligés de se souvenir des noms d’utilisateur et des mots de passe d’un si grand nombre de comptes. Parfois, ils doivent réinitialiser leurs mots de passe encore et encore après de nombreuses tentatives de connexion infructueuses.
  4. Connexion plus rapide : Nous sommes tous occupés. Il est suggéré qu’un mot de passe fort contienne au moins 16 caractères et son impression prend beaucoup de temps par rapport à la numérisation d’une empreinte digitale ou à l’ouverture d’un lien magique.
See also  Protégez-vous avec l'authentification multifacteur - Bitcoin Magazine

Restrictions d’authentification sans mot de passe

L’authentification sans mot de passe n’est pas parfaite et présente certaines limites du point de vue de la sécurité et de l’expérience.

  • Expérience utilisateur inconnue : De nombreuses personnes ont l’habitude de saisir ou de remplir automatiquement des mots de passe. Un changement vers un lien magique ou OTC peut être un choc pour les utilisateurs.
  • Appareils volés ou risque d’échange de carte SIM : L’envoi de codes à usage unique par SMS peut rendre les utilisateurs vulnérables si leur téléphone est volé ou s’ils sont exposés à des escroqueries par échange de carte SIM.
  • La sécurité biométrique n’est pas parfaite : Les scanners d’empreintes digitales, TouchID et FaceID ont été piratés avec succès au fil des ans.

S’appuyer sur un seul facteur d’authentification, mot de passe ou non, pose toujours un certain niveau de risque. Nous recommandons toujours d’utiliser l’authentification multifacteur (MFA) dans la mesure du possible.

L’authentification sans mot de passe est-elle sécurisée ?

Oui, l’authentification sans mot de passe est considérée comme sécurisée, mais elle n’est pas totalement sans risque. Un compte sans mot de passe n’a pas à craindre que le mot de passe ne tombe entre les mains d’une personne malveillante. Cela peut se produire par des violations de données, des piratages par force brute, des appareils perdus ou des post-it égarés.

De nombreux risques associés à l’authentification sans mot de passe s’appliquent de la même manière aux autres méthodes.

Si un pirate informatique a accès à votre compte de messagerie et que vous utilisez Magic Links pour une authentification sans mot de passe, il pourra facilement se connecter. Cependant, ce risque est le même si vous utilisez un mot de passe normal. Le mauvais acteur n’a qu’à cliquer sur “réinitialiser le mot de passe” et envoyer le lien de réinitialisation à la même adresse e-mail.

Enfin, comme tout autre système, un système d’authentification sans mot de passe est également vulnérable aux attaques directes visant à saper ou à contourner les mesures de sécurité. Quelle que soit la sécurité avec laquelle vous agissez, les systèmes qui stockent et confirment vos informations d’identification ne sont jamais complètement sécurisés.

La vérification des empreintes digitales et d’autres facteurs biométriques sont beaucoup plus difficiles, mais pas impossibles à tricher et offrent un moyen très sûr de vous autoriser.

Authentification sans mot de passe vs. authentification multifacteur (MFA)

L’authentification multifacteur est une méthode d’utilisation de plusieurs facteurs d’authentification lors de la connexion. Cela se produit très souvent lorsque vous vous connectez à un compte avec un nom d’utilisateur et un mot de passe, puis recevez un code à usage unique (OTC) à 6 chiffres pour confirmer la propriété de votre appareil.

See also  Mon téléphone portable a été piraté et voici ce que j'ai fait pour sauvegarder mes données et mes applications

Dans cet exemple, le facteur OTC est sans mot de passe. Au lieu de cela, si vous deviez utiliser une empreinte digitale et un code à usage unique, vous auriez une configuration MFA entièrement sans mot de passe.

Comment implémenter l’authentification sans mot de passe sur votre site Web

L’intégration de l’authentification sans mot de passe dans votre application ou votre site Web est plus facile que jamais. En fonction de votre infrastructure existante, vous pouvez désormais choisir parmi de nombreuses options :

  • Solutions pour l’administration des utilisateurs : Ces fournisseurs offrent des services entièrement gérés qui fournissent non seulement des authentifications traditionnelles et sans mot de passe, mais également l’administration des utilisateurs et la gestion des autorisations.
    • Quand utiliser: Les nouveaux constructeurs de systèmes, les start-ups et les équipes qui souhaitent éviter tout travail de développement à faible valeur et à haut risque.
    • Quand ne pas utiliser : Si vous avez un ensemble hautement personnalisé d’exigences d’authentification ou de gestion des utilisateurs qui peuvent ne pas correspondre à leurs systèmes.
    • Fournisseurs: Frontegg, Okta/Auth0, FusionAuth, Trusona, AppWrite
  • Fournisseur de services d’authentification : Ces services fournissent l’authentification des utilisateurs, la gestion des accès et d’autres services tels que la gestion des sessions.
    • Quand utiliser: Vous disposez déjà de services de gestion des utilisateurs et souhaitez que quelqu’un s’occupe des mots de passe et de l’authentification.
    • Quand ne pas utiliser : Vous avez une expérience ou des ressources de développement limitées. Si vous avez un modèle simple de gestion des identités et des accès, vous pouvez envisager une solution entièrement gérée comme mentionné ci-dessus.
    • Fournisseurs: AWS Cognito, plateforme d’identité Google, Microsoft Azure AD

Authentification sans mot de passe avec React – Speedrun

Pour démontrer à quel point il est facile d’introduire des méthodes sans mot de passe pour vos utilisateurs, nous vous guiderons à travers un didacticiel de 5 minutes avec un fournisseur appelé Frontegg. Une plate-forme de gestion des utilisateurs en libre-service et de bout en bout qui, entre autres fonctionnalités de gestion des utilisateurs, offre quelques formes de méthodes de connexion sans mot de passe.

La création de services de connexion et d’authentification prend énormément de temps et n’ajoute aucune valeur à votre flux d’utilisateurs, mais peut être préjudiciable si vous faites une erreur. À mesure que les services offrant une authentification s’améliorent et deviennent moins chers, il ne devrait pas y avoir beaucoup de raisons de créer vos propres systèmes de validation de mot de passe pour vos applications.

  1. Créez votre compte Frontegg gratuit

Créez votre compte Frontegg via leur site Web. Assurez-vous de sélectionner Magic Code ou Magic Link comme options sans mot de passe pendant le processus de déploiement !

See also  Comment la police TS fait face aux cyberattaques avancées

Options sans mot de passe

  1. Démarrer le processus d’intégration

Lorsque vous avez terminé de créer votre boîte de connexion et sélectionné vos méthodes sans mot de passe, vous verrez une option Publier sur Dev.

Frontegg utilise des environnements (Dev, QA, Staging, Production) avec des sous-domaines, des clés et des URL uniques pour vos environnements d’authentification.

Vous allez maintenant être redirigé vers une page avec un exemple de code, et plus important encore, votre `baseURL` et` ‘clientID`. Laissez cette page ouverte et accédez à l’IDE pour l’étape suivante.

  1. Créez l’application React (ignorez ceci si vous avez déjà votre propre application)

Entrez les commandes suivantes dans le terminal pour créer une nouvelle application Reactreact et accédez au nouveau répertoire.

npx create-react-app app-with-frontegg
cd app-with-frontegg
  1. Installer et importer des œufs avant

Exécutez la commande suivante pour installer la bibliothèque Frontegg React et le routeur React. Vous pouvez ignorer l’installation du routeur de réaction s’il est déjà installé dans votre application.

npm install @frontegg/react react-router-dom
  1. Configurer les paramètres de connexion

DANS src/index.js fichier, ajoutez le code ci-dessous. Revenez ensuite à votre page Frontegg et recherchez `baseUrl` et ‘clientID’ dans les exemples de code.

Remarque : Ces valeurs se trouvent toujours dans la section d’administration de votre espace de travail lorsque ce flux d’introduction est terminé.

import React from 'react';
import ReactDOM from 'react-dom'; 

import App from './App';
import './index.css';

import { FronteggProvider } from '@frontegg/react';

const contextOptions = {
  baseUrl: '## YOUR BASE URL ##',
  clientId: '## YOUR CLIENT ID ##'
};




ReactDOM.render(
    <FronteggProvider contextOptions={contextOptions} hostedLoginBox={true}>
        <App />
    </FronteggProvider>,
    document.getElementById('root')
);
  1. Rediriger pour se connecter

En utilisant le hook Frontegg useAuth, vous pouvez décider si un utilisateur est authentifié ou non. Si l’utilisateur n’est pas authentifié, vous pouvez rediriger l’utilisateur pour se connecter via le crochet useLoginWithRedirect (comme le montre l’exemple ci-dessous).

import './App.css';

export default App;
  1. S’identifier

Courir npm start ou ouvrez dans votre navigateur et cliquez sur Login bouton. Vous devriez voir vos pages de connexion et d’inscription nouvellement créées.

Notez qu’il n’y a pas de champ de mot de passe ici 🎉

Enregistrement des œufs avant

Cliquez sur S’inscrire, accédez à votre e-mail et cliquez sur Activer mon compte.

Code jetable d'oeuf avant

Pour vous connecter, entrez simplement votre e-mail, attendez que le code à six chiffres arrive et vous êtes connecté. Pas de mots de passe, pas de soucis.

Conclusion

J’espère que ce guide d’authentification sans mot de passe vous a non seulement aidé à comprendre à quel point cette technologie est accessible, mais aussi à quel point elle deviendra importante au cours des prochaines années.

You may also like...

Leave a Reply

Your email address will not be published.