CIAM par l'exemple en quatre recettes : ajoutez une authentification sans mot de passe avec des passkeys 

Les vecteurs d'attaque sont de plus en plus sophistiqués chaque jour, et les mots de passe ne sont pas la seule cible facile pour les comportements malveillants. 

Les consommateurs, les législateurs et les organisations prennent de plus en plus conscience du ciblage malveillant utilisant l'IA pour hameçonner ou convaincre frauduleusement une partie de partager des informations sensibles.

Par exemple, si le numéro d'un utilisateur est divulgué, des acteurs malveillants peuvent déployer un bot pour harceler cette personne avec une salve de notifications push via ses terminaux enregistrés, afin de faire pression sur elle pour qu'elle autorise une transaction, ou même la rediriger avec un QR Code vers une fausse page de fournisseur pour se connecter afin de voler encore plus de données.

Les tactiques de phishing comprennent, sans s'y limiter, le déploiement de malware, la surveillance par logiciels espions et l'usurpation de compte pour inciter les utilisateurs à partager davantage de données à caractère personnel qui pourraient faire l'objet d'abus répétés.

Qu'est-ce qu'une clé d'identification ?

Un passe est une paire de clés - une pour vous qui est publique et une pour votre utilisateur connu qui est privée et que vous ne voyez jamais. 

Les utilisateurs peuvent compter sur la clé privée de leur passkey pour autoriser n'importe quel canal avec une clé publique associée, ce qui signifie que vos utilisateurs n'ont jamais à configurer la biométrie directement avec vous, mais bénéficient plutôt de la réutilisation de leur biométrie existante sur vos services et les services partenaires. 

Developers peuvent être rassurés en sachant que les acteur malveillant ne peuvent rien faire avec leur clé publique hébergée, car aucune information de profil de consommateur ou identifiants n'est associée à une clé publique ; seule une clé privée autorisée par l'utilisateur peut être liée à la clé publique pour accorder l'accès.

Avec les passkeys, les organisations peuvent connecter les consommateurs à travers les réseaux en utilisant la technologie mobile existante de leur smartphone, ce qui permet de s'authentifier presque partout en utilisant les mêmes données biométriques ou le même code PIN qu'ils utilisent pour déverrouiller leurs terminaux. 

Pourquoi les clés d'identification sont-elles si populaires en ce moment ?

Les clients veulent passer moins de temps à se connecter.

La façon dont nous envoyons des SMS, passons des appels et publions même des mises à jour sur les réseaux sociaux est la même technologie que les fournisseurs de services comme Apple et Google ont intégrée à leurs produits pour faciliter et accélérer la connexion à leurs écosystèmes.

Désormais, les organisations peuvent créer leurs propres écosystèmes de fournisseurs et offrir aux utilisateurs des moyens plus sûrs de se connecter et de gérer leurs données sans mot de passe. Les passkeys peuvent également accélérer l'authentification de 2,6 fois sur votre plateforme. 

Les passkey offrent une meilleure UX qui donne aux organisations plus de contrôle sur leurs propriétés numériques à travers les systèmes et les terminaux, avec l'avantage supplémentaire pour les utilisateurs d'éviter complètement les mots de passe.

Fondamentalement, les passkey rendent les consommateurs heureux, car ils peuvent changer de terminal dans différents contextes et environnements et conserver une expérience homogène, et les organisations peuvent stimuler leur entonnoir.

Bien qu'il puisse sembler intimidant d'ajouter encore un autre identifiant à la liste, les passkeys sont soutenues par des normes cryptographiques robustes qui valent le battage médiatique, et toute organisation peut ajouter des passkeys à sa stratégie anti-phishing avec Auth0 by Okta. 

Recette

Ingrédients : 

• Un tenant Auth0
• Une application échantillon pour tester l'inscription, la connexion et la déconnexion

Les clés d'identification sont très faciles à configurer. En quelques étapes dans le tableau de bord Auth0, votre New Universal Login hébergé dans le cloud mettra à jour le reste, avec des passkeys disponibles pour tous les utilisateurs.

1. Accédez à Authentication > Authentication Profile, et sélectionnez Identifier Fir
2. Accédez à Authentication > Database et sélectionnez Create DB Connection. Nommez-le « Passkey » et cliquez sur Create. Sélectionnez l'onglet Authentication Methods sur l'écran suivant et activez Passk
3. Et voilà ! Lorsque vous vous connecterez ou vous vous inscrirez, vous verrez passkey comme option, avec toutes les bonnes pratiques en matière d'expérience utilisateur et d'authentification sécurisée intégrées :

Clés d'identification : La sécurité conviviale

Les passkey permettent aux utilisateurs de parcourir en toute sécurité plusieurs réseaux et canaux, car elles traversent plusieurs réseaux de fournisseurs sans partager d'identifiants, y compris les mots de passe.

Les passkey ne sont jamais partagées en dehors de leur terminal ou de leurs services et capturent le consentement d'un utilisateur (double tapotement de ce bouton latéral) pour accéder à ses propriétés numériques sans saisir de mot de passe. 

Liée au logiciel

Les clés d'identification peuvent authentifier les utilisateurs sans mot de passe sur différents terminaux et services pour continuer à diffuser votre émission préférée de votre smartphone à votre tablette.

Imaginez que votre utilisateur s'est inscrit à votre service de streaming en utilisant ses informations d'identification Google, mais qu'il utilise son identifiant Apple pour tout le reste, car il possède un iPhone et un iPad.

La clé de l'iPhone d'un utilisateur peut être utilisée (avec son consentement) pour créer une clé pour ce service de streaming sur son iPad pour son compte Google, sans aucune des étapes de l'enregistrement biométrique normal et du partage entre les fournisseurs, qui sont remplacées par une clé synchronisée. 

Liée à l'appareil 

Le matériel passkey, comme une Yubikey, est le Gold standard en matière de résistance au phishing et de sécurité disponible pour les consommateurs. En fait, lorsqu'elle est effectuée via la communication en champ proche, c'est la façon la plus sûre d'utiliser une passkey, car la passkey ne quitte jamais le terminal, et l'utilisation d'un terminal physique permet de prouver la présence.

Une passkey liée au terminal peut être utilisée pour effectuer une authentification croisée à proximité l'une de l'autre ; et se synchroniser instantanément, se connecter (et commencer à diffuser) sur tous les appareils, et est considérée comme le modèle de passkey le plus sécurisé.

Les marques peuvent protéger leurs périmètres en encourageant l'utilisation de matériel de passkey et, comme un géant des médias, constater des taux de conversion plus élevés et une diminution spectaculaire des demandes de service de compte, tout en se protégeant contre les activités malveillantes et en offrant une expérience sécurisée et sans friction que les consommateurs apprécient.

Pour en savoir plus sur les clés d'identification liées à un appareil, consultez notre article sur la façon de configurer avec Auth0.

Et ensuite ?

Félicitations pour l'ajout de l'authentification sans mot de passe à vos applications avec les passkeys ! Maintenant, nous sommes prêts à vérifier la confidentialité des données ! Pour protéger pleinement les informations de vos clients et vous conformer aux réglementations telles que le RGPD, l'HIPAA et le CCPA, votre application doit fournir des fonctionnalités supplémentaires telles que le consentement de l'utilisateur, l'audit des données et un centre de préférences.

Dans notre prochaine recette, nous examinerons les éléments essentiels pour mettre votre application en conformité avec la confidentialité des données. Pour obtenir toutes les recettes dans un guide complet, téléchargez notre livre de recettes.