Le mot de passe n'est pas en train de mourir
L'année dernière, des reportages circulaient sur Internet affirmant que les grandes entreprises technologiques unissaient leurs forces pour éliminer les mots de passe. Certaines startups ont même déclaré que les mots de passe étaient obsolètes et dépassés.
Founder
Introduction
L'année dernière, des reportages circulaient sur Internet affirmant que les grandes entreprises technologiques comme Apple, Google et Microsoft unissaient leurs forces pour éliminer les mots de passe. Certaines startups ont même déclaré que les mots de passe étaient obsolètes et dépassés. Après avoir plongé dans le domaine de la gestion de l'identité pendant des mois, j'ai commencé à remettre en question la validité et la praticabilité de ces affirmations.
Que fait un mot de passe ?
Au premier abord, la réponse semble évidente : les mots de passe servent à se connecter et à vérifier des identités. Cependant, j'adopte un point de vue différent si on considère le fait que les mots de passe ne peuvent pas vraiment vérifier qui vous êtes :
- Lorsqu'un utilisateur se connecte à un site web avec un email et un mot de passe, le site web n'a aucun moyen de confirmer la véritable personne derrière ces informations d'identification. Cela pourrait être un humain ou même un chat.
- N'importe qui peut déverrouiller un iPhone avec le bon code PIN.
En réalité, le but d'un mot de passe est de prouver de manière anonyme la propriété de quelque chose : un compte d'utilisateur, un appareil ou l'accès à une porte.
Les « tueurs de mot de passe » actuels
Les entreprises mentionnées plus tôt ont proposé divers "tueurs de mot de passe". Beaucoup prétendent être des alternatives plus sûres qui éliminent le besoin pour les utilisateurs de se souvenir de mots de passe complexes et statiques lors de l'authentification. Cependant, la plupart de ces alternatives ne sont pas entièrement pratiques pour supprimer complètement les mots de passe.
Authentification FIDO
L'authentification FIDO (Fast Identity Online), comme expliqué dans la documentation officielle, utilise des techniques de cryptographie à clé publique pour l'enregistrement et la connexion (il convient de noter que WebAuthn est une composante essentielle des spécifications FIDO2). En surface, le processus semble séduisant :
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M232.891%2c35L237.057%2c35C241.224%2c35%2c249.557%2c35%2c257.224%2c35C264.891%2c35%2c271.891%2c35%2c275.391%2c35L278.891%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M530.953%2c35L535.12%2c35C539.286%2c35%2c547.62%2c35%2c555.286%2c35C562.953%2c35%2c569.953%2c35%2c573.453%2c35L576.953%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M833.469%2c35L837.635%2c35C841.802%2c35%2c850.135%2c35%2c857.802%2c35C865.469%2c35%2c872.469%2c35%2c875.969%2c35L879.469%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(120.4453125%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='224.890625' y='-27' x='-112.4453125' style='' class='basic label-container'/%3e%3cg transform='translate(-82.4453125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='164.890625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eCommence l'inscription%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(406.921875%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='248.0625' y='-27' x='-124.03125' style='' class='basic label-container'/%3e%3cg transform='translate(-94.03125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='188.0625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eApprobation de l'utilisateur%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(707.2109375%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='252.515625' y='-27' x='-126.2578125' style='' class='basic label-container'/%3e%3cg transform='translate(-96.2578125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='192.515625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eCr%c3%a9ation d'une nouvelle cl%c3%a9%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(941.921875%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='116.90625' y='-27' x='-58.453125' style='' class='basic label-container'/%3e%3cg transform='translate(-28.453125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='56.90625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eTermin%c3%a9%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Simple, non ? Malheureusement, il y a un obstacle de taille sur le chemin : la compatibilité. Par rapport à la combinaison traditionnelle de "identifiant et mot de passe", l'authentification FIDO nécessite :
- Des sites web ou des applications pour soutenir FIDO.
- Des navigateurs et/ou des systèmes d'exploitation pour soutenir FIDO.
- Des appareils d'utilisateur pour avoir un mécanisme de vérification convivial.
Si l'une de ces conditions n'est pas remplie, l'authentification FIDO est indisponible, ce qui oblige à revenir à d'autres méthodes.
De plus, même si toutes les conditions sont remplies, qu'est-ce qui qualifie de "mécanisme de vérification convivial" sur un appareil ? Actuellement, cela peut impliquer des méthodes biométriques comme la reconnaissance des empreintes digitales ou du visage, accompagnées d'une option de repli comme un code PIN, autrement dit un mot de passe. Au final, nous revenons à notre point de départ.
Techniquement, ce n'est pas un "tueur de mot de passe" mais plutôt un processus d'authentification ou de vérification plus sûr et plus convivial protégé par des mots de passe.
Mot de passe à usage unique
Même si le nom inclut le terme « mot de passe », les mots de passe à usage unique (OTPs) ne sont pas des mots de passe traditionnels parce qu'ils sont dynamiques. Il existe deux types populaires d'OTPs :
- Mot de passe à usage unique basé sur le temps (TOTP) : Généré algorithmiquement en utilisant le temps actuel comme source d'unicité. Il est couramment utilisé dans l'Authentification à plusieurs facteurs (MFA) ou 2FA.
- Mot de passe à usage unique par SMS/Email : Généré sur le serveur en utilisant des algorithmes aléatoires. Dans certains pays, il a été largement adopté comme méthode de connexion principale.
Les TOTPs peuvent ne pas être aussi largement reconnus par leur nom. Par exemple, lorsqu'un site web vous invite à mettre en place une MFA et à utiliser une application comme Google Authenticator ou Duo pour scanner un code QR, vous utilisez très probablement un TOTP. Vous avez peut-être aussi remarqué que le site web affiche souvent un long "code de récupération" et vous conseille de le sauvegarder car il ne sera affiché qu'une seule fois. Certains sites web encouragent même les utilisateurs à l'imprimer sur papier. En essence, ce code de récupération fonctionne comme un long mot de passe.
Quant aux OTP par SMS/Email, ils peuvent être coûteux et peu fiables :
- Construire un émetteur de SMS ou d'emails à partir de zéro nécessite une configuration.
- Les émetteurs d'e-mails doivent établir une "réputation" positive pour améliorer le taux de livraison, sinon l'émetteur peut être signalé comme spam.
- Chaque pays a ses propres opérateurs de réseaux mobiles, ce qui entraîne des temps de livraison imprévisibles et des coûts notables pour l'envoi de SMS, surtout pour les startups.
Biométrie
Le terme "biométrie" se réfère à l'utilisation de méthodes biométriques uniquement pour l'authentification en ligne. En fait, il y a une différence fondamentale par rapport aux autres méthodes : l'authentification biométrique déplace la tâche originale de "prouver la possession de quelque chose" à "prouver qui vous êtes". En raison des problèmes de confidentialité, les méthodes biométriques sont principalement utilisées pour l'authentification locale.
Le mot de passe n'est pas parfait, cependant
Comme nous pouvons le voir, les "tueurs de mots de passe" cachent essentiellement les mots de passe ou utilisent les mots de passe comme options de secours. Voici un résumé des avantages des mots de passe basés sur notre discussion :
- Accessibilité et compatibilité : Les mots de passe peuvent être utilisés dans divers systèmes et sont accessibles à une large gamme d'utilisateurs.
- Rentabilité et polyvalence : Les méthodes d'authentification basées sur les mots de passe sont généralement plus rentables que d'autres méthodes et adaptables à différents scénarios.
- Anonymat et confidentialité : Les mots de passe permettent un usage anonyme et protègent la confidentialité des utilisateurs.
Mais chaque médaille a ses revers. Si les mots de passe ont leurs avantages, le fait de s'appuyer uniquement sur eux pour l'authentification pose d'importantes vulnérabilités. Ils peuvent être difficiles à gérer pour les utilisateurs finaux, et si les propriétaires de sites web ne respectent pas les bonnes pratiques de sécurité, les mots de passe deviennent facilement compromis. Parmi les pratiques dangereuses de sécurité, citons, sans s'y limiter, :
- Autoriser des mots de passe faibles ou divulgués.
- Manque d'imposition de HTTPS pour les connexions.
- Utilisation d'algorithmes de hachage non sécurisés.
- Ne pas adhérer strictement à des normes bien testées comme OAuth ou OpenID Connect (OIDC).
- Exposition de la base de données au public.
Conclusion
Je n'ai pas l'intention de dénigrer l'une ou l'autre des méthodes d'authentification mentionnées ci-dessus. Au contraire, en travaillant à la construction de Logto, j'ai développé un profond respect pour ces remarquables méthodes d'authentification et pour les personnes qui les ont créées.
Cependant, atteindre une sécurité à 100% est un objectif inatteignable. Ce que nous pouvons nous efforcer de faire, c'est de réduire la possibilité d'attaques. Une approche efficace consiste à combiner l'authentification basée sur les mots de passe avec des mots de passe à usage unique basés sur l'appareil ou l'environnement actuel, ce qui ajoute une couche supplémentaire de vérification et a été largement adopté. En exploitant les forces de différentes techniques d'authentification, nous pouvons créer une approche en couches qui offre une protection plus forte.
En conclusion, plutôt que de se concentrer sur des mots à la mode comme "tueur de mot de passe" lorsque les mots de passe ne sont pas vraiment éliminés, il serait plus utile de se concentrer sur l'équilibre entre la sécurité et l'expérience utilisateur. Cela implique de comprendre les forces et les limitations de diverses méthodes d'authentification et de les mettre en œuvre d'une manière qui assure à la fois la sécurité des données des utilisateurs et une expérience utilisateur fluide.