L’authentification sans mot de passe, comment ça marche ?

Les systèmes d’authentification sur le web n’ont guère changé depuis leurs débuts. Ainsi, dans une écrasante majorité des cas, on trouve le traditionnel couple identifiant / mot de passe. Il faut dire que, pour un développeur, il est extrêmement simple à mettre en œuvre et, pour un utilisateur, il est également extrêmement simple à comprendre et à utiliser facilement et rapidement.

Seulement voila, comme nous avons déjà pu le voir, c’est un système qui est loin d’être parfait et c’est pourquoi il est nécessaire de chercher d’autres systèmes d’authentification. Dans cet article nous allons discuter d’une alternative fonctionnant sans mot de passe.

Sécurité

L’authentification sans mot de passe est un peu plus sécurisée que cette porte

Sans mot de passe oui, mais ce n’est pas pour ça qu’il n’est pas sécurisé.

L’authentification sans mot de passe

Avant de discuter des avantages et inconvénients d’un tel système, voyons d’abord comment cela fonctionne. Car c’est probablement la question qui vous est venue aussitôt si vous n’en aviez jamais entendu parler auparavant.

Lorsque vous cherchez à vous connectez à un service ayant implémenté un système d’authentification sans mot de passe, la première étape consiste toujours à indiquer un login, un identifiant unique comme votre adresse e-mail par exemple.

Ensuite, pas de mot de passe à entrer, bien sûr. C’est le but, après tout. À la place, un mail vous est envoyé contenant un lien un peu spécial. En cliquant sur ce lien, vous serez redirigé vers le service auquel vous vouliez vous connecter, et qui vous reconnaîtra alors : vous êtes connecté, sans avoir eu à entrer un mot de passe pour le service voulu.

Du côté du développeur, c’est un processus extrêmement simple à mettre en œuvre. Peut-être même plus qu’un système d’authentification par mot de passe classique. Cependant, qu’en est-il de l’utilisateur ?

Les inconvénients d’un tel système

Si vous avez l’habitude de ne pas faire appel à un quelconque logiciel extérieur au navigateur pour retenir votre mot de passe, le processus d’authentification sans mot de passe est sans doute plus long qu’à l’accoutumée.

En effet, il faut se rendre sur le service, indiquer un login, revenir sur son client mail, ouvrir le mail, cliquer sur le lien et enfin profiter du service. Ce n’est bien sûr pas une procédure qui nécessite qu’on y passe 10 minutes, mais quand même, ça reste plus long qu’indiquer un mot de passe (si on ne galère pas à retrouver ce dernier).

Par ailleurs, on a un peu déplacé le problème mine de rien : si du côté du service, tout est bien sécurisé, il reste à voir si l’on peut dire la même chose du client mail utilisé pour accéder au lien de connexion.

Car si quelqu’un parvient à mettre la main sur votre boîte mail, il pourra se connecter à divers services utilisant l’authentification sans mot de passe. Cependant, ce problème n’est pas vraiment lié à une telle authentification : avec les systèmes actuels de mots de passe perdus, le problème est exactement le même.

Quelques avantages

Les avantages d’un système sans mot de passe sont multiples. Déjà, avantage immédiat : plus de mot de passe à inventer ou à retenir pour chaque service. On évite donc de partir sur un mot de passe facile à retenir et non sécurisé.

Au final, le processus d’authentification est certes un peu plus long, mais aussi plus facile.

Autrement dit, on gagne en sécurité, et c’est un autre avantage. Tous les développeurs ne sont pas égaux, et certains sont plus sensibilisés à la sécurité que d’autres.

C’est un fait : certains services sont plus vulnérables que d’autres.

L’avantage ici, c’est que le plus souvent nos boîtes mail sont relativement bien sécurisées. Comme le système d’authentification sans mot de passe repose essentiellement là-dessus, il n’y a donc plus de question à se poser du côté de la sécurité.

On peut d’ailleurs assez facilement augmenter encore le niveau de sécurité, avec par exemple un délai maximal à respecter pour se connecter : au-delà de 10 minutes le lien envoyé n’est plus valide, par exemple. Et si le mail ne vous convient pas, un SMS peut aussi fonctionner, avec un code temporaire à entrer.

En bref

L’idée de l’authentification sans mot de passe n’est en soi pas révolutionnaire : c’est plus ou moins le même processus que pour une réinitialisation de mot de passe, avec une étape en moins. Cependant, elle n’est pas inintéressante.

En effet, elle simplifie le processus d’authentification, même si elle rallonge quelque peu la durée de celui-ci. Tout est à relativiser cependant : à l’heure où nous cochons pratiquement tous la case « connexion automatique », nous voyons rarement la phase d’authentification en elle-même. Si, lorsque nécessaire, elle est plus longue, mais aussi plus sécurisée et ne demande pas de se souvenir d’un mot de passe, pourquoi pas.

Photo : Nick Carter