L’authentification sans mot de passe, comment ça marche ?

Les systèmes d’authentification sur le web n’ont guère changé depuis leurs débuts. Ainsi, dans une écrasante majorité des cas, on trouve le traditionnel couple identifiant / mot de passe. Il faut dire que, pour un développeur, il est extrêmement simple à mettre en œuvre et, pour un utilisateur, il est également extrêmement simple à comprendre et à utiliser facilement et rapidement.

Seulement voila, comme nous avons déjà pu le voir, c’est un système qui est loin d’être parfait et c’est pourquoi il est nécessaire de chercher d’autres systèmes d’authentification. Dans cet article nous allons discuter d’une alternative fonctionnant sans mot de passe.

Sécurité
L’authentification sans mot de passe est un peu plus sécurisée que cette porte

Sans mot de passe oui, mais ce n’est pas pour ça qu’il n’est pas sécurisé.

L’authentification sans mot de passe

Avant de discuter des avantages et inconvénients d’un tel système, voyons d’abord comment cela fonctionne. Car c’est probablement la question qui vous est venue aussitôt si vous n’en aviez jamais entendu parler auparavant.

Lorsque vous cherchez à vous connectez à un service ayant implémenté un système d’authentification sans mot de passe, la première étape consiste toujours à indiquer un login, un identifiant unique comme votre adresse e-mail par exemple.

Ensuite, pas de mot de passe à entrer, bien sûr. C’est le but, après tout. À la place, un mail vous est envoyé contenant un lien un peu spécial. En cliquant sur ce lien, vous serez redirigé vers le service auquel vous vouliez vous connecter, et qui vous reconnaîtra alors : vous êtes connecté, sans avoir eu à entrer un mot de passe pour le service voulu.

Du côté du développeur, c’est un processus extrêmement simple à mettre en œuvre. Peut-être même plus qu’un système d’authentification par mot de passe classique. Cependant, qu’en est-il de l’utilisateur ?

Les inconvénients d’un tel système

Si vous avez l’habitude de ne pas faire appel à un quelconque logiciel extérieur au navigateur pour retenir votre mot de passe, le processus d’authentification sans mot de passe est sans doute plus long qu’à l’accoutumée.

En effet, il faut se rendre sur le service, indiquer un login, revenir sur son client mail, ouvrir le mail, cliquer sur le lien et enfin profiter du service. Ce n’est bien sûr pas une procédure qui nécessite qu’on y passe 10 minutes, mais quand même, ça reste plus long qu’indiquer un mot de passe (si on ne galère pas à retrouver ce dernier).

Par ailleurs, on a un peu déplacé le problème mine de rien : si du côté du service, tout est bien sécurisé, il reste à voir si l’on peut dire la même chose du client mail utilisé pour accéder au lien de connexion.

Car si quelqu’un parvient à mettre la main sur votre boîte mail, il pourra se connecter à divers services utilisant l’authentification sans mot de passe. Cependant, ce problème n’est pas vraiment lié à une telle authentification : avec les systèmes actuels de mots de passe perdus, le problème est exactement le même.

Quelques avantages

Les avantages d’un système sans mot de passe sont multiples. Déjà, avantage immédiat : plus de mot de passe à inventer ou à retenir pour chaque service. On évite donc de partir sur un mot de passe facile à retenir et non sécurisé.

Au final, le processus d’authentification est certes un peu plus long, mais aussi plus facile.

Autrement dit, on gagne en sécurité, et c’est un autre avantage. Tous les développeurs ne sont pas égaux, et certains sont plus sensibilisés à la sécurité que d’autres.

C’est un fait : certains services sont plus vulnérables que d’autres.

L’avantage ici, c’est que le plus souvent nos boîtes mail sont relativement bien sécurisées. Comme le système d’authentification sans mot de passe repose essentiellement là-dessus, il n’y a donc plus de question à se poser du côté de la sécurité.

On peut d’ailleurs assez facilement augmenter encore le niveau de sécurité, avec par exemple un délai maximal à respecter pour se connecter : au-delà de 10 minutes le lien envoyé n’est plus valide, par exemple. Et si le mail ne vous convient pas, un SMS peut aussi fonctionner, avec un code temporaire à entrer.

En bref

L’idée de l’authentification sans mot de passe n’est en soi pas révolutionnaire : c’est plus ou moins le même processus que pour une réinitialisation de mot de passe, avec une étape en moins. Cependant, elle n’est pas inintéressante.

En effet, elle simplifie le processus d’authentification, même si elle rallonge quelque peu la durée de celui-ci. Tout est à relativiser cependant : à l’heure où nous cochons pratiquement tous la case “connexion automatique”, nous voyons rarement la phase d’authentification en elle-même. Si, lorsque nécessaire, elle est plus longue, mais aussi plus sécurisée et ne demande pas de se souvenir d’un mot de passe, pourquoi pas.

Photo : Nick Carter

5 réflexions au sujet de “L’authentification sans mot de passe, comment ça marche ?”

  1. Ca peut être une bonne solution pour des applications d’entreprise, en
    interne. A partir du moment où on a la main sur la solution de
    messagerie de A à Z, ça permet de simplifier le quotidien des
    utilisateurs (“quoi, encore un mot de passe à retenir ? Ras le bol, je
    le note sur l’écran !”), et bien plus simplement qu’un SSO.

    Répondre
  2. D’après moi, on ne doit pas tergiverser sur la sécurité pour gagner en confort. Rien ne vaut des mots de passe conçus de chiffres et de lettres sans signification. Et à les retaper tous les jours (car cela va de soit, laisser le navigateur les retenir pour nous n’est pas une bonne habitude), on fini très rapidement par les connaître par cœur. Ca ne prend ensuite que quelques secondes de les réécrire au clavier chaque matin… ;)

    Répondre
    • Mais l’utilisateur lambda continue de noter ses mots de passe sur l’écran, sous le clavier, dans un petit carnet… ceci dit j’ai eu un jour une utilisatrice qui avait planqué son code d’alarme, au cas où, sur un post-it collé non pas dans un tiroir, mais sous un tiroir. Il fallait penser à aller regarder en dessous, ce qui est loin d’être évident. Y’avait de l’imagination, pour une fois.

      Plus on force l’utilisateur à utiliser des mots de passe, plus celui-ci est tenté de les noter, même s’il avait de bonnes intentions au départ. Je crois qu’il faut essayer d’aller dans le sens de l’utilisateur, trouver le bon compromis entre simplicité et sécurité. Tout dépend ensuite de l’application… certaines sont nettement moins sujettes à tergiversation sur la sécurité (application RH, par exemple).

      Répondre
    • Avec plus de 300 comptes dans mon gestionnaire de mot de passe ça me paraît peu réaliste d’être à la fois capable de les mémoriser tous et d’avoir des mots de passes uniques et complexes pour chaque…

      Un bon gestionnaire de mot passe me paraît être le meilleur compromis avec en plus l’avantage de les avoir toujours avec soit sur PC, smartphone etc.

      En entreprise le graal c’est d’identifier directement l’utilisateur une bonne fois pour toute et de lui alloue l’accès à telle ou telle application en fonction de son profil. Dans la vraie vie c’est fort complexe, les applications sont souvent variées, nécessitent souvent des évolution pour permettre une telle gestion et comme c’est rarement prioritaire cela passe à la trappe.

      Répondre

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.