Comment migrer vers l’authentification passwordless en 3 lignes de code

Dans le monde numérique, Il est acquis que renforcer la sécurité d’un système passe forcément par une dégradation de l’expérience utilisateur. Pourtant, en choisissant la bonne solution d’authentification forte, vous pouvez simplifier l’expérience utilisateur au quotidien et profiter d’une implémentation sans effort important de développement.

Auteur : Romain Breysse, Ingénieur Cybersécurité

Après 10 ans d’expérience dans l’industrie des télécoms sur de nombreux produits à différents postes (informatique, marketing, avant-vente) en France et à l’étranger, Romain a rejoint inWebo avec l’envie d’en apprendre davantage sur l’univers de la cyber défense et de développer son expertise.

Ingénieur avant-vente chez inWebo, Romain accompagne les clients et prospects dans la mise en place de la solution d’authentification forte inWebo MFA et dans l’application des meilleures pratiques en matière de cybersécurité.

Dans le monde numérique, Il est acquis que renforcer la sécurité d’un système passe forcément par une dégradation de l’expérience utilisateur.

Notre expérience quotidienne nous le prouve à chaque connexion avec le fameux mot de passe : chaque année nous devons augmenter la taille de nos mots de passe, ajouter des caractères exotiques, des minuscules, des majuscules etc…., en résumé, accroître la complexité pour renforcer la sécurité de nos accès.

Nous n’avons pas le choix : dans ce monde connecté, des attaques variées se multiplient et font la Une de la presse chaque semaine – social engineering, fuite de mots de passe, phishing, malware, ransomware etc… Des mesures drastiques doivent être mises en place au sein des entreprises pour lutter contre ces nouvelles menaces. La sécurité informatique est devenue indispensable.

Ainsi lorsque le RSSI annonce qu’il va renforcer la sécurité, les utilisateurs prennent peur, ils tremblent : que va-t-on devoir faire demain pour accéder à nos e-mails :

  • Taper un mot de passe de 20 caractères ? Au secours !
  • Utiliser une clé physique supplémentaire ? J’ai déjà assez de clés !
  • Une sécurité ZeroTrust ? Je n’aurai plus accès à rien ?
  • Une politique passwordless ? Mais où est la sécurité ?
  • Ou ajouter de l’authentification forte sur tous les accès ?? Quel est ce nom barbare, ce sera pire que le mot de passe ? … Non !

Dans cet article, nous allons vous expliquer que ces craintes ne sont pas une fatalité et nous allons vous montrer, démonstration technique à l’appui, comment l’authentification forte inWebo parvient à améliorer l’expérience utilisateur tout en renforçant la sécurité !

Adieu les mots de passe. Vive le Passwordless !

Tout le monde utilise un mot de passe ; au fil des années nous avons appris à nous connecter avec le couple login / mot de passe.

Pourtant avec le développement des puissances de calcul des ordinateurs et la mise en réseau de toutes les applications, la sécurité n’est plus au rendez-vous : protéger ses comptes bancaires, ses comptes clients, avec un simple password n’est plus raisonnable.

Time to Crack Password

Évidemment, nous pouvons toujours choisir un mot de passe plus long et/ou plus complexe pour renforcer la sécurité mais l’impact négatif est immédiat sur l’expérience utilisateur.

Cette méthode n’est pas viable dans le temps et montre déjà ses limites aujourd’hui aussi bien humainement que techniquement.

L’authentification forte, indispensable pour se protéger, complexifie-t-elle l’expérience client ?

Face aux nouvelles menaces, les réglementations se durcissent pour protéger les accès de manière plus efficace. En réponse, des technologies sortent du lot pour remplacer le mot de passe comme, par exemple, l’authentification forte.
L’authentification forte consiste à combiner des facteurs différents confirmant l’identité d’un utilisateur en générant un mot de passe à usage unique (OTP ou One Time Password) pour chaque connexion :

Ce que je possède

un facteur de possession unique pour chaque utilisateur : un token

Ce que je sais

un facteur de connaissance que seul l’utilisateur connaît

Ce que je suis

un facteur biométrique comme une empreinte digitale, forcément unique à l’utilisateur

Par exemple, la régulation européenne DSP2 impose aux banques et aux commerçants en ligne de sécuriser dès que possible (la date limite est repoussée régulièrement car les acteurs ne sont pas encore prêts) les accès avec de l’authentification forte. Les banques ont renforcé la sécurité jusqu’à présent en envoyant un mot de passe à usage unique par SMS mais même cette technique montre ses limites en termes de sécurité et de facilité d’utilisation.

De nombreux articles fleurissent sur internet pour pointer du doigt la complexité de l’authentification forte qui risque de pousser les utilisateurs à renoncer à leurs achats en ligne au détriment du chiffre d’affaires des commerçants en ligne.

Cette crainte est infondée ; inWebo a développé la bonne réponse : une authentification forte passwordless, sans compromis sur la sécurité, mais garantissant une expérience utilisateur encore plus simple qu’avec le mot de passe.

Comment la solution passwordless d’inWebo simplifie l’expérience utilisateur

Passwordless : Et si vous troquiez votre mot de passe pour un simple code PIN, et que vous y gagnez aussi en sécurité ?

Aujourd’hui, au quotidien votre utilisateur tape un mot de passe de 10 caractères de type « J_OublIeMonPwd? » .. ce n’est pas très pratique.

Demain, avec inWebo, passez au passwordless et permettez à votre utilisateur de se connecter simplement en tapant un code PIN (un facteur de connaissance à 4 ou 6 chiffres) facile à retenir au sein de son facteur de possession tel que notre token navigateur qui sera le navigateur par défaut de votre utilisateur.

deviceless browser token

En résumé, l’authentification forte passwordless avec inWebo

Sans authentification forte

Sans authentification forte, un utilisateur tape un mot de passe laborieux peu sécurisé.

Avec inWebo MFA

Avec l’authentification forte inWebo, l’utilisateur tape un facteur de connaissance simple à retenir : 4 chiffres.

Comment est-ce possible ? Comment assurer la sécurité des accès avec seulement 4 chiffres ?

Il faut bien comprendre que les 4 chiffres ne sont qu’un seul des facteurs nécessaires pour s’authentifier. Ces 4 chiffres ne servent à rien seuls. Ils ne peuvent être utilisés que sur le facteur de possession créé par l’utilisateur : dans l’exemple ci-dessus un token navigateur choisi et créé durant la phase d’enrôlement*.

La saisie de son facteur de connaissance n’est possible que sur un navigateur transformé en facteur de possession, autrement dit en navigateur de confiance.

D’autre part on parle bien d’un facteur de connaissance et non pas d’un classique mot de passe : le facteur de connaissance n’est pas transmis via le réseau à chaque authentification et n’est pas stocké dans une base de données classique. De ce fait, il ne peut pas se faire attaquer comme un mot de passe habituel.

Comment un utilisateur va-t-il créer son facteur de possession, son token ?

Pour pouvoir s’authentifier, l’utilisateur va devoir franchir une étape supplémentaire, afin de créer son facteur de possession. Cette étape est uniquement à réaliser la première fois: au quotidien, il indiquera seulement son code PIN.

Cette procédure, appelée enrôlement, prend environ 1 minute : l’utilisateur va, par exemple, recevoir un e-mail avec un lien, il devra cliquer sur ce lien. Une nouvelle page s’ouvrira alors sur son navigateur par défaut pour lui demander de définir son facteur de connaissance.

Voilà c’est terminé. L’utilisateur vient de définir ses deux facteurs : en créant à la fois un token navigateur (son navigateur par défaut) et son facteur de connaissance : rapide et efficace.

Il peut dorénavant s’authentifier uniquement via ce navigateur devenu son facteur de possession en indiquant son facteur de connaissance.

Le avant / après avec la solution passwordless d’inWebo

Oubliez le casse tête des mots de passe…

password complexity

Simplifiez l’expérience de connexion

password complexity
Voilà comment l’authentification forte inWebo simplifie drastiquement l’expérience utilisateur.

Nous avons constaté également que les équipes support étaient moins sollicités par des demandes de réinitialisation de mot de passe oublié, bloqué etc… Forcément l’utilisateur se trompera moins souvent avec un simple facteur de connaissance sous la forme d’un code PIN à retenir.

Tout le monde est gagnant : les utilisateurs et les équipes support.

Comment migrer vers de l’authentification forte passwordless en un clin d’œil

login password
Aujourd’hui vous utilisez un couple login / mot de passe pour laisser vos utilisateurs s’authentifier. Techniquement c’est un simple formulaire HTML pour vous permettre de valider ces données au sein de votre base de données.
inWebo code
Pour transformer ce formulaire en une authentification forte, il vous suffit :

  • d’ajouter 3 lignes de code,
  • d’ajouter une fonction javascript,
  • de masquer le formulaire d’origine
    puis de faire un appel API à notre plateforme.

Une ligne pour initialiser la librairie inWebo :

inWebo code
Une fonction javascript qui va permettre de lancer le token navigateur inWebo lors du chargement de la page.
inWebo code
Deux lignes de code ensuite au sein de votre page internet qui va remplacer votre formulaire actuel login / mot de passe. Cette partie correspond à l’affichage de l’interface utilisateur inWebo.
inWebo code
C’est terminé : vous êtes capable de faire une authentification forte, de générer des mots de passe à usage unique en utilisant la technologie inWebo.
Passwordless Authentication
Il ne vous reste plus qu’à récupérer le mot de passe unique (l’OTP) généré par notre token navigateur. Il sera automatiquement « posté » dans votre formulaire dans le champ password et vous pourrez le valider en utilisant notre API AuthenticateExtended pour le faire valider via notre plateforme SaaS :
inWebo API Rest

En résumé le processus suivant aura été mis en place :

inWebo génère un OTP

inWebo token navigateur (Deviceless MFA) génère un OTP

Votre formulaire récupère l'OTP

Votre formulaire récupère l’OTP dans le champs « mot de passe » qui est validé via un appel API vers notre plateforme

inWebo confirme l'OTP

La plateforme SaaS inWebo confirme l’OTP

inWebo génère un OTP

inWebo token navigateur (Deviceless MFA) génère un OTP

Votre formulaire récupère l'OTP

Votre formulaire récupère l’OTP dans le champs « mot de passe » qui est validé via un appel API vers notre plateforme

inWebo confirme l'OTP

La plateforme SaaS inWebo confirme l’OTP

Vous pouvez évidemment aller plus loin et personnaliser de manière importante la solution.
A cet effet vous pourrez trouver notre documentation en ligne avec des exemples de code pour débuter plus vite.

Par expérience un développeur, seul, peut mettre en place notre solution en moins d’une heure avec notre design standard et en 2 jours avec une intégration plus poussée avec votre propre design !

Améliorer l’expérience de connexion et passez, sans effort, au passswordless

Plus d’excuses pour ne pas sécuriser vos applications. Vous avez le choix de continuer avec un mot de passe peu sécurisé, fastidieux à utiliser par vos utilisateurs et ainsi resté exposé à toutes les attaques informatiques existantes ou renforcer votre sécurité avec une authentification forte ET simple pour vos utilisateurs !

Les 2 messages à retenir sont :

Simplifie l'expérience utilisateur

L’authentification forte ne complexifie pas l’expérience utilisateur au quotidien, au contraire elle la simplifie

Rapide et facile à implémenter

L’authentification forte peut s’implémenter très efficacement sans effort important de développement.

Contactez-nous pour une démo ou pour demander l’ouverture de votre compte de test

Nos dernières actualités

Contactez-nous