L'avenir est sans mot de passe : comment les clés de sécurité vont vous simplifier la vie et nous protéger tous

Publié: 2022-11-16

Ce n'est un secret pour personne que l'authentification sans mot de passe prend le dessus. Les leaders mondiaux de la technologie, tels qu'Apple, Google et Microsoft, se tournent vers l'utilisation de clés de sécurité. Tirant parti de la cryptographie à clé publique, les clés d'accès apportent une expérience de quasi-changement de paradigme en matière de sécurité numérique.

iThemes a ouvert la voie pour rendre WordPress et, en fin de compte, l'ensemble d'Internet plus sûrs et utilisables par tous. L'avenir est sans mot de passe, et nous sommes ici pour vous dire pourquoi.

Dans ce guide sur l'authentification sans mot de passe, vous apprendrez comment les clés d'authentification surmontent les vulnérabilités de sécurité de l'authentification par mot de passe et pourquoi vous devriez commencer à les utiliser.

Le parcours vers l'authentification sans mot de passe

Le voyage vers l'authentification sans mot de passe a déjà commencé. Tous les principaux navigateurs et géants de la technologie ont introduit une prise en charge complète des clés de sécurité. 2022 est devenue une nouvelle étape dans la mise en œuvre de connexions sans mot de passe plus cohérentes, sécurisées et faciles sur plusieurs appareils et plates-formes numériques.

Chaque année, la Journée mondiale du mot de passe, désignée comme le premier jeudi de mai, célèbre les nouvelles avancées réalisées dans un effort commun pour rendre le Web plus sûr et utilisable pour tous. Le 5 mai 2022, Apple, Google et Microsoft ont annoncé leur intention d'étendre la prise en charge de la norme de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium.

Depuis des années, l'Alliance FIDO (Fast Identity Online) et le World Wide Web Consortium travaillent sur un ensemble de normes qui permettront la mise en œuvre de l'authentification sans mot de passe sur Internet. FIDO 2 est le dernier ensemble de spécifications, désormais pris en charge par la plupart des navigateurs et plates-formes.

Nous examinerons plus en détail le fonctionnement de l'authentification sans mot de passe plus loin dans le guide. Mais avant cela, voyons pourquoi l'authentification par mot de passe devient progressivement une chose du passé.

Pourquoi l'authentification par mot de passe est-elle laissée de côté ?

L'authentification par mot de passe existe depuis presque aussi longtemps qu'Internet existe, permettant aux utilisateurs de se connecter à un site Web ou à une application Web en utilisant une paire d'informations d'identification - un nom d'utilisateur et un mot de passe. Cette approche a prouvé sa fiabilité et sa polyvalence et est la norme de l'industrie depuis des années.

Cependant, malgré sa facilité de mise en œuvre et d'utilisation, de nombreux inconvénients et risques de sécurité associés à l'authentification par mot de passe ont été rapidement découverts, tant côté utilisateur que côté serveur. En termes simples, les utilisateurs et les serveurs n'ont pas la capacité de garder le secret partagé en sécurité.

Les principaux risques de sécurité associés à l'authentification par mot de passe sont centrés sur l'utilisation du mot de passe comme secret partagé. Cela peut devenir disponible pour un acteur malveillant à différentes étapes du processus d'authentification. Les mots de passe peuvent être piratés ou simplement devinés en raison d'une attaque par force brute réussie.

3 façons courantes d'exposer les mots de passe

Des études ont montré que plus de 80 % de toutes les violations liées au piratage sont attribuées à des compromis de mot de passe. Cela signifie qu'à un moment donné, le pirate a réussi à obtenir un accès non autorisé au système en se faisant passer pour le propriétaire légitime d'un site Web ou d'une application Web. Mais comment exactement les sites Web sont-ils piratés ?

Les moyens les plus courants d'exposer les mots de passe sont le phishing, les attaques par force brute et les violations de données. Les utilisateurs peuvent être amenés à divulguer leurs informations d'authentification. Ou les mots de passe peuvent être devinés ou divulgués en cas de violation de données du côté du fournisseur de services.

Attaques par force brute et violations de données

Les attaques par force brute augmentent et représentent environ 80 % de toutes les attaques de réseau. Étant donné que la devinette de mot de passe a été automatisée, il ne faut pas beaucoup de temps à l'attaquant pour casser un compte.

La machine du pirate (ou même un réseau d'ordinateurs connu sous le nom de botnet) peut générer des milliers de combinaisons par seconde. Cela permet à l'attaquant d'obtenir un accès non autorisé à un site Web ou à une application Web en un rien de temps.

Et si vous vous demandez pourquoi un pirate attaquerait votre site Web, l'explication est simple. Les pirates ont la capacité de faire des milliers de requêtes Web par seconde. Ils choisissent rarement les sites Web sur lesquels ils aimeraient s'introduire - ils essaieront d'en pirater autant que possible.

L'accès administrateur à un site Web ou même à un serveur entier offre aux pirates des possibilités presque illimitées d'exploiter le système. L'un d'eux est la fuite d'informations sur les utilisateurs, y compris les noms d'utilisateur et les mots de passe, de la base de données de l'application.

Pourquoi l'utilisation de mots de passe forts ne résout pas tous les risques de sécurité

L'utilisation de mots de passe forts est absolument essentielle et fournira une ligne de défense solide contre les attaques par force brute. On pense que l'utilisation d'un mot de passe fort résout tous les risques de sécurité. Cependant, cela ne peut que réduire les risques que vos informations d'identification soient compromises dans une certaine mesure.

Seuls environ 30 % des utilisateurs configurent l'authentification à deux facteurs. Sans utiliser l'authentification multifacteur, les pirates ne sont qu'à un pas d'accéder à des informations sensibles.

La configuration de mots de passe à usage unique, la vérification par SMS ou tout autre type de 2FA est une excellente option pour surmonter la plupart des vulnérabilités de sécurité de l'authentification par mot de passe. Cependant, les clés d'accès peuvent faire une réelle différence dans le monde de la cybersécurité.

clés d'accès

Que sont les clés d'accès ?

Les clés de passe sont des informations d'identification numériques alimentées par une cryptographie asymétrique qui peuvent entièrement remplacer l'authentification par mot de passe. En tant que forme d'authentification sans mot de passe, les clés d'accès offrent un moyen plus rapide et plus sécurisé de se connecter aux services et aux applications sur plusieurs appareils utilisateur.

L'authentification sans mot de passe vous permet d'éviter d'avoir à entrer un nom d'utilisateur et un mot de passe pour vous connecter. Au lieu de cela, votre appareil générera une clé d'accès - une paire de clés cryptographiques qu'un certain ID d'identification identifiera.

Comment les clés de sécurité garantissent une authentification sécurisée

Chaque clé d'accès que vous créez est unique et limitée à un site Web ou à une application Web. Comme il n'y a pas de secrets partagés ou de mots de passe dont l'utilisateur doit se souvenir, les clés d'accès offrent une protection complète contre le phishing et les attaques par force brute.

Une fois qu'un nouveau mot de passe est créé, le serveur enregistre la clé publique et l'identifiant d'identification. La clé privée sera stockée en toute sécurité sur l'appareil de l'utilisateur ou sur une clé de sécurité matérielle telle que YubiKey que vous pourrez emporter avec vous.

Pour prendre en charge les clés d'accès, l'appareil de l'utilisateur doit disposer de la puce de sécurité Trusted Platform Module (TPM) pour effectuer des opérations cryptographiques telles que la génération de clés et un authentificateur de plate-forme. L'authentificateur de plate-forme prend généralement en charge plusieurs types de vérification d'identité, y compris les informations biométriques et les codes PIN.

Les clés de passe peuvent également être automatiquement synchronisées entre les appareils de l'utilisateur via un service cloud. Par conséquent, vous n'avez pas besoin de créer une nouvelle paire de clés sur d'autres appareils. La synchronisation de la clé de passe est cryptée de bout en bout et le service cloud stockera en toute sécurité une copie cryptée de la clé de passe.

Même si la clé publique est divulguée, elle sera inutile au pirate sans la clé privée correspondante. Cela élimine toute possibilité d'accès non autorisé en raison d'une violation de données. Il n'y a aucun moyen réel pour un acteur malveillant de se faire passer pour vous.

Comment fonctionnent les clés d'accès ?

L'utilisation de clés de sécurité est devenue possible grâce au développement de la cryptographie asymétrique et de plusieurs normes et protocoles créés par l'Alliance FIDO et le World Wide Web Consortium. Examinons plus en détail le fonctionnement des clés de sécurité en en apprenant davantage sur la cryptographie à clé publique, WebAuthn et le protocole client à authentificateur.

Cryptographie à clé publique

La clé publique, ou cryptographie asymétrique, implique une paire de clés - privée et publique - qui sont utilisées pour chiffrer et déchiffrer les données échangées par différentes parties. La clé privée doit être gardée secrète pendant que la clé publique est publiée en ligne (ou donnée au serveur lors de la création d'un mot de passe).

Outre l'authentification sans mot de passe, la cryptographie asymétrique permet d'assurer un chiffrement de bout en bout pour sécuriser le trafic circulant sur le réseau. Un certificat SSL/TLS a la clé privée installée sur le serveur d'origine, tandis que la clé publique est utilisée pour vérifier l'identité d'un site Web avant d'établir une connexion.

API d'authentification Web (WebAuthn) et protocole client à authentificateur

Avec le protocole Client to Authenticator, l'API d'authentification Web fait partie du framework FIDO2, un ensemble de technologies qui permettent d'utiliser l'authentification sans mot de passe entre les serveurs, les navigateurs et les authentificateurs.

WebAuthn, abréviation de Web Authentication API, est une nouvelle spécification développée par le World Web Consortium et FIDO qui permet aux serveurs de mettre en œuvre une authentification sans mot de passe. Depuis 2019, WebAuthn est pris en charge par tous les principaux navigateurs, y compris Chrome, Firefox, Safari et Edge.

En tant qu'interface de programmation d'application, WebAuthn permet aux sites Web et aux applications Web d'enregistrer et d'authentifier les utilisateurs à l'aide de clés d'accès au lieu de mots de passe.

L'authentification Web fonctionne avec d'autres normes FIDO, telles que Credential Management et Client to Authenticator Protocol 2 (CTAP 2). CTAP 2 est un protocole de couche application qui spécifie la communication entre le navigateur, le système d'exploitation et un authentificateur itinérant.

Enregistrement d'un mot de passe

Lorsque vous enregistrez un nouveau mot de passe pour vous authentifier, le serveur hébergeant l'application génère un défi. Ensuite, votre appareil créera une nouvelle paire de clés, signera le défi et enverra la clé publique au serveur, ainsi que l'ID d'identification.

Le serveur enregistrera la clé publique et l'identifiant d'identification pour vous authentifier la prochaine fois que vous vous connecterez. Vous pouvez créer plusieurs clés de passe pour chaque compte pour la redondance. Cela permet également une récupération plus rapide du compte en cas de perte du mot de passe principal.

La clé privée sera enregistrée sur votre appareil et y sera stockée en toute sécurité. La seule façon d'accéder à la clé privée est de vérifier votre identité à l'aide d'un capteur biométrique. Cela inclut vos empreintes digitales ou vos motifs faciaux ou un code PIN.

Le processus d'authentification sans mot de passe

Une fois qu'un nouveau mot de passe est créé pour votre compte, vous pouvez tirer parti de l'authentification sans mot de passe chaque fois que vous devez vous connecter à un site Web ou à une application. Au lieu de vous connecter avec un nom d'utilisateur et un mot de passe, vous pouvez choisir d'utiliser un mot de passe.

Le serveur enverra l'identifiant d'identification (ou plusieurs identifiants si vous avez généré plus d'un mot de passe pour le compte) et un défi. Votre appareil utilisera alors l'ID d'identification pour trouver la bonne clé et vous demandera de valider votre identité en utilisant l'une des méthodes d'authentification prises en charge.

Une fois la clé déverrouillée, votre appareil signera le défi et l'enverra au serveur pour authentification. Le serveur vérifiera le défi signé à l'aide de la clé publique de la paire et accordera l'accès à votre compte.

iThemes apporte l'authentification sans mot de passe à WordPress

WordPress a toujours été une cible prioritaire pour les pirates du monde entier.

L'augmentation du nombre d'attaques sur les sites Web WordPress et les volumes mondiaux de logiciels malveillants ne passent pas inaperçus. Alors que les attaques malveillantes ciblent de plus en plus, la sécurité des sites Web est désormais plus importante que jamais.

Depuis des années, iThemes recherche de nouvelles façons de protéger les sites Web WordPress contre les menaces de sécurité sans cesse croissantes. Les rapports hebdomadaires sur les vulnérabilités de WordPress nous ont aidés à comprendre comment sécuriser l'un des domaines critiques d'un site Web WordPress - son tableau de bord d'administration.

Les clés d'accès sont sans aucun doute l'une des innovations les plus remarquables dans le monde de la cybersécurité. L'adaptation croissante des clés de sécurité sur les plates-formes et les systèmes d'exploitation peut changer Internet à jamais. Les clés de passe WordPress peuvent faire une réelle différence pour la sécurité de WordPress. Et iThemes n'a pas attendu une minute de plus pour mettre l'authentification sans mot de passe à la disposition de la communauté WordPress.

En septembre 2022, iThemes Security Pro a inclus la prise en charge des clés de passe WordPress pour l'authentification sans mot de passe. Apportant les derniers développements en matière de cybersécurité à votre site Web WordPress, iThemes Security Pro a fait un grand pas vers une expérience d'authentification plus sécurisée et cohérente.

Avec iThemes Security Pro, les clés d'authentification WordPress sont disponibles sur tous les types d'appareils. Vous pouvez utiliser un authentificateur de plate-forme tel qu'Apple Touch ID, Face ID et Windows Hello, ainsi que tout authentificateur itinérant.

Commencez à utiliser les clés de passe pour WordPress

Pour commencer à utiliser des clés de passe pour l'authentification de l'administrateur WordPress, assurez-vous de mettre à jour iThemes Security Pro vers la dernière version. L'option permettant d'activer l'authentification sans mot de passe sera disponible à partir de l'onglet Sécurité de connexion. Une fois la prise en charge des clés de sécurité activée, configurez les clés de sécurité pour les utilisateurs de WordPress à partir du tableau de bord d'administration.

Si vous ne profitez toujours pas des mises à jour automatiques du noyau, du thème et des plugins de WordPress, il est temps de commencer. BackupBuddy, une solution de sauvegarde primée pour WordPress, vous aidera à élaborer une stratégie de sauvegarde solide pour gérer toutes les mises à jour en toute confiance.

Vous gérez plus d'un site Web ? iThemes Sync vous aidera à gérer plusieurs sites Web WordPress à partir d'un seul tableau de bord, vous faisant gagner du temps et de l'argent. Surveillance avancée, suivi des métriques SEO et intégration avec BackupBuddy et iThemes Security Pro - le tout à votre disposition avec votre assistant de site Web WordPress personnel.

Comment les géants de la technologie implémentent les clés de sécurité

Les trois géants mondiaux de la technologie - Apple, Google et Microsoft - ont ouvert la voie à l'authentification sans mot de passe sur tous les principaux navigateurs et systèmes d'exploitation. Android, iOS et Windows peuvent désormais utiliser de puissants authentificateurs de plate-forme intégrés et synchroniser les clés de passe sur plusieurs appareils.

Pomme

Apple a introduit des clés de passe avec la sortie d'IOS 16 et de macOS Ventura, rendant l'authentification sans mot de passe disponible pour les utilisateurs sur tous les appareils Apple. Les authentificateurs intégrés d'Apple, tels que Touch ID et Face ID, autorisent l'utilisation de mots de passe dans Safari et d'autres principaux navigateurs.

Les clés de passe se synchronisent sur tous les appareils Apple de l'utilisateur à l'aide du trousseau iCloud. Lorsqu'un utilisateur active le trousseau iCloud pour la première fois, l'appareil Apple établit un cercle de confiance et crée une nouvelle paire de clés unique stockée dans le trousseau de l'appareil. De cette façon, iCloud Keychain fournit un cryptage de bout en bout avec des clés cryptographiques solides.

Google

En octobre, Google a annoncé la prise en charge des clés de passe pour Google Chrome et Android. Il s'agissait d'une étape majeure dans l'intégration des clés de sécurité dans l'écosystème. Sur Chrome et Android, les mots de passe sont stockés dans Google Password Manager. Les informations d'identification sont synchronisées entre les appareils de l'utilisateur connectés au même compte Google.

À l'avenir, Google prévoit d'étendre la prise en charge des clés de sécurité pour Android. Une nouvelle API permettra l'utilisation de mots de passe pour les applications Android.

Microsoft

Microsoft a ouvert la voie à la mise en œuvre de l'authentification sans mot de passe sur Internet. Avant 2022, la prise en charge des clés de sécurité était déjà incluse pour Windows 365 et Azure Virtual Desktop.

Microsoft permet les connexions sans mot de passe à l'aide de Windows Hello, un authentificateur de plate-forme robuste désormais intégré à Windows 10 et 11. La mise en œuvre des clés de passe par Microsoft est similaire à celle d'Apple. Il vous permet de synchroniser vos clés d'accès entre les appareils connectés au même compte Microsoft.

Autres entreprises utilisant des clés d'accès

Plusieurs entreprises ont déjà adopté l'authentification sans mot de passe basée sur les normes développées par FIDO Alliance. PayPal, Amazon, eBay, Facebook, Netflix et IBM font partie des innovateurs qui apportent l'authentification sans mot de passe à leurs plateformes.

Emballer

Basées sur la cryptographie asymétrique et de nombreux protocoles et spécifications puissants développés par FIDO Alliance et le World Web Consortium, les clés d'accès peuvent remplacer complètement l'authentification par mot de passe dans un avenir proche. Les plus grandes entreprises technologiques étendent progressivement la prise en charge des clés de sécurité. Nous pouvons bientôt oublier les attaques par force brute et les accès non autorisés.

Après des années passées à trouver la bonne solution pour offrir une expérience d'authentification plus cohérente, les clés d'accès sont là pour nous simplifier la vie et nous protéger. Faut-il déjà oublier ce que sont les mots de passe ? Pas encore, mais vous devez absolument être prêt à utiliser des clés de sécurité.

L'avenir de l'authentification est Passkeys! Connectez-vous à votre site WordPress avec la biométrie uniquement disponible dans iThemes Security Pro

Les problèmes d'attaques par force brute via le credential stuffing, les attaques de phishing et les mots de passe réutilisés ont rendu nos vies numériques moins sûres. Nous avons tous essayé d'encourager l'authentification à 2 facteurs comme protection, mais moins de 30 % des utilisateurs utilisent réellement 2FA. Les connexions basées sur un mot de passe posent problème.

L'avenir de l'authentification réside dans les clés d'accès, et iThemes Security Pro est le premier à apporter cette technologie révolutionnaire aux sites WordPress. Grâce à la technologie révolutionnaire WebAuthn basée sur la cryptographie publique/privée, les clés d'accès rendent les mots de passe obsolètes. Désormais, les administrateurs de sites Web et les utilisateurs finaux peuvent disposer de connexions sécurisées sans les inconvénients d'applications supplémentaires à deux facteurs, de gestionnaires de mots de passe ou d'exigences complexes en matière de mots de passe.

En savoir plus sur les clés d'accès