Comment migrer vers l’authentification passwordless en 3 lignes de code

Dans le monde numérique, Il est acquis que renforcer la sécurité d’un système passe forcément par une dégradation de l’expérience utilisateur.

Notre expérience quotidienne nous le prouve à chaque connexion avec le fameux mot de passe : chaque année nous devons augmenter la taille de nos mots de passe, ajouter des caractères exotiques, des minuscules, des majuscules etc…., en résumé, accroître la complexité pour renforcer la sécurité de nos accès.

Nous n’avons pas le choix : dans ce monde connecté, des attaques variées se multiplient et font la Une de la presse chaque semaine – social engineering, fuite de mots de passe, phishing, malware, ransomware etc… Des mesures drastiques doivent être mises en place au sein des entreprises pour lutter contre ces nouvelles menaces. La sécurité informatique est devenue indispensable.

Ainsi lorsque le RSSI annonce qu’il va renforcer la sécurité, les utilisateurs prennent peur, ils tremblent : que va-t-on devoir faire demain pour accéder à nos e-mails :

• Taper un mot de passe de 20 caractères ? Au secours !
• Utiliser une clé physique supplémentaire ? J’ai déjà assez de clés !
• Une sécurité ZeroTrust ? Je n’aurai plus accès à rien ?
• Une politique passwordless ? Mais où est la sécurité ?
• Ou ajouter de l’authentification forte sur tous les accès ?? Quel est ce nom barbare, ce sera pire que le mot de passe ? … Non !

Dans cet article, nous allons vous expliquer que ces craintes ne sont pas une fatalité et nous allons vous montrer, démonstration technique à l’appui, comment l’authentification forte inWebo parvient à améliorer l’expérience utilisateur tout en renforçant la sécurité !

Adieu les mots de passe. Vive le Passwordless !

Tout le monde utilise un mot de passe ; au fil des années nous avons appris à nous connecter avec le couple login / mot de passe.

Pourtant avec le développement des puissances de calcul des ordinateurs et la mise en réseau de toutes les applications, la sécurité n’est plus au rendez-vous : protéger ses comptes bancaires, ses comptes clients, avec un simple password n’est plus raisonnable.

Évidemment, nous pouvons toujours choisir un mot de passe plus long et/ou plus complexe pour renforcer la sécurité mais l’impact négatif est immédiat sur l’expérience utilisateur.

Cette méthode n’est pas viable dans le temps et montre déjà ses limites aujourd’hui aussi bien humainement que techniquement.

L’authentification forte, indispensable pour se protéger, complexifie-t-elle l’expérience client ?

Face aux nouvelles menaces, les réglementations se durcissent pour protéger les accès de manière plus efficace. En réponse, des technologies sortent du lot pour remplacer le mot de passe comme, par exemple, l’authentification forte.
L’authentification forte consiste à combiner des facteurs différents confirmant l’identité d’un utilisateur en générant un mot de passe à usage unique (OTP ou One Time Password) pour chaque connexion :

Par exemple, la régulation européenne DSP2 impose aux banques et aux commerçants en ligne de sécuriser dès que possible (la date limite est repoussée régulièrement car les acteurs ne sont pas encore prêts) les accès avec de l’authentification forte. Les banques ont renforcé la sécurité jusqu’à présent en envoyant un mot de passe à usage unique par SMS mais même cette technique montre ses limites en termes de sécurité et de facilité d’utilisation.

De nombreux articles fleurissent sur internet pour pointer du doigt la complexité de l’authentification forte qui risque de pousser les utilisateurs à renoncer à leurs achats en ligne au détriment du chiffre d’affaires des commerçants en ligne.

Cette crainte est infondée ; inWebo a développé la bonne réponse : une authentification forte passwordless, sans compromis sur la sécurité, mais garantissant une expérience utilisateur encore plus simple qu’avec le mot de passe.

Comment la solution passwordless d’inWebo simplifie l’expérience utilisateur

Passwordless : Et si vous troquiez votre mot de passe pour un simple code PIN, et que vous y gagnez aussi en sécurité ?

Aujourd’hui, au quotidien votre utilisateur tape un mot de passe de 10 caractères de type « J_OublIeMonPwd? » .. ce n’est pas très pratique.

Demain, avec inWebo, passez au passwordless et permettez à votre utilisateur de se connecter simplement en tapant un code PIN (un facteur de connaissance à 4 ou 6 chiffres) facile à retenir au sein de son facteur de possession tel que notre token navigateur qui sera le navigateur par défaut de votre utilisateur.

En résumé, l’authentification forte passwordless avec inWebo

Comment est-ce possible ? Comment assurer la sécurité des accès avec seulement 4 chiffres ?

Il faut bien comprendre que les 4 chiffres ne sont qu’un seul des facteurs nécessaires pour s’authentifier. Ces 4 chiffres ne servent à rien seuls. Ils ne peuvent être utilisés que sur le facteur de possession créé par l’utilisateur : dans l’exemple ci-dessus un token navigateur choisi et créé durant la phase d’enrôlement*.

La saisie de son facteur de connaissance n’est possible que sur un navigateur transformé en facteur de possession, autrement dit en navigateur de confiance.

D’autre part on parle bien d’un facteur de connaissance et non pas d’un classique mot de passe : le facteur de connaissance n’est pas transmis via le réseau à chaque authentification et n’est pas stocké dans une base de données classique. De ce fait, il ne peut pas se faire attaquer comme un mot de passe habituel.

Comment un utilisateur va-t-il créer son facteur de possession, son token ?

Pour pouvoir s’authentifier, l’utilisateur va devoir franchir une étape supplémentaire, afin de créer son facteur de possession. Cette étape est uniquement à réaliser la première fois: au quotidien, il indiquera seulement son code PIN.

Cette procédure, appelée enrôlement, prend environ 1 minute : l’utilisateur va, par exemple, recevoir un e-mail avec un lien, il devra cliquer sur ce lien. Une nouvelle page s’ouvrira alors sur son navigateur par défaut pour lui demander de définir son facteur de connaissance.

Voilà c’est terminé. L’utilisateur vient de définir ses deux facteurs : en créant à la fois un token navigateur (son navigateur par défaut) et son facteur de connaissance : rapide et efficace.

Il peut dorénavant s’authentifier uniquement via ce navigateur devenu son facteur de possession en indiquant son facteur de connaissance.

Le avant / après avec la solution passwordless d’inWebo

Simplifiez l’expérience de connexion

Nous avons constaté également que les équipes support étaient moins sollicités par des demandes de réinitialisation de mot de passe oublié, bloqué etc… Forcément l’utilisateur se trompera moins souvent avec un simple facteur de connaissance sous la forme d’un code PIN à retenir.

Tout le monde est gagnant : les utilisateurs et les équipes support.

Comment migrer vers de l’authentification forte passwordless en un clin d’œil

• d’ajouter 3 lignes de code,
• d’ajouter une fonction javascript,
• de masquer le formulaire d’origine
  puis de faire un appel API à notre plateforme.

Une ligne pour initialiser la librairie inWebo :

En résumé le processus suivant aura été mis en place :

Vous pouvez évidemment aller plus loin et personnaliser de manière importante la solution.
A cet effet vous pourrez trouver notre documentation en ligne avec des exemples de code pour débuter plus vite.

Par expérience un développeur, seul, peut mettre en place notre solution en moins d’une heure avec notre design standard et en 2 jours avec une intégration plus poussée avec votre propre design !

Améliorer l’expérience de connexion et passez, sans effort, au passswordless

Les 2 messages à retenir sont :