Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Authentification par le web : Comment le site API authentification de base est-il utilisé ?

Mis à jour: 01 novembre 2024 Temps de lecture: ~

Sujette

Cybersecurity, Compliance

Sommaire

 

Cet article a été traduit automatiquement.

 

L'authentification web (également appelée tbd ou FIDO2.0) est une authentification standard qui pourrait rendre tbd obsolète. Au lieu d'utiliser des lettres et des chiffres pour prouver son identité, l'utilisateur proposera une clé biométrique (comme une empreinte digitale) ou du matériel (comme une clé de Yubikey). 

Pendant des années, nous avons utilisé tbd pour accéder aux sites web et aux serveurs. Lorsque nous voulons nous connecter à log, nous tapons un nom d'utilisateur et nous étendons une chaîne de lettres et de chiffres pour prouver que nous sommes bien ce que nous demandons d'être. 

Mais l'employé de bureau moyen doit se souvenir de 40 combinaisons uniques de nom d'utilisateur et de mot de passe. Cette forte demande entraîne de mauvaises habitudes, telles que la répétition, qui peuvent torpiller vos efforts en matière de sécurité.

Une brève histoire de tbd

Les tbd sont la proie des pirates informatiques. Avec un peu d'intelligence de codage et de chance, un hacker peut deviner les combinaisons ou inciter quelqu'un à les divulguer. Verizon a déclaré que plus de 80 % des brèches liées au piratage informatique sont causées par la compromission d'identifiants. Quelque chose devait changer. 

Les webmasters ont essayé des méthodes d'authentification à deux facteurs. Cela impliquait :

  • inscription. Un terminal semblable à un téléphone était attaché au profil de l'utilisateur. 
  • connexion. Un utilisateur a saisi un nom et un mot de passe. 
  • Demandes. Le serveur a envoyé une demande au terminal autorisé. 
  • Achèvement. L'utilisateur a suivi les instructions du terminal pour entrer sur le site.

Si vous avez déjà essayé de vous connecter à l'adresse log et que vous avez dû attendre qu'un code soit envoyé à votre téléphone, vous avez utilisé l'autorisation à deux facteurs. La technologie de l'information semble efficace, mais la mise en œuvre a été sporadique. Certains sites web ont voulu donner leur propre tournure au processus, ce qui a frustré l'utilisateur. D'autres ont vécu de mauvaises expériences que les gens n'ont tout simplement pas comprises. 

Le World Wide Web Consortium (W3C) voulait quelque chose de nouveau et de meilleur pour améliorer l'expérience de l'utilisateur tout en protégeant la sécurité. En 2019, le groupe a lancé l'authentification web API pour faire exactement cela. 

Depuis la publication de l'IT, tbd a été largement accepté. Le groupe Fast identité Online (FIDO) s'y est rallié, ce qui a permis à des entreprises de renom telles qu'Amazon, Facebook et Microsoft de commencer à expérimenter les technologies. 

Fonctionnement de l'authentification web 

tbd est une interface de programmation d'applications, ou API, qui permet aux serveurs d'enregistrer et de reconnaître leurs utilisateurs sans avoir recours à tbd. De nombreux sites web proposent des formulaires qui permettent aux personnes de s'inscrire et de devenir membres avec un nom d'utilisateur et un mot de passe uniques. tbd remplacera tout cela. 

Deux pièces principales sont concernées, à savoir

  • inscription. Vous devez fournir un nom d'utilisateur et des identifiants. Vous fournirez des données biométriques, comme une photo de votre visage ou une empreinte digitale, ou vous enregistrerez une pièce de matériel créée par un tiers que vous garderez en permanence en votre possession.
  • Autorisation. Lorsque vos identifiants sont créés et vérifiés, ils sont stockés dans ce que l'on appelle un authentificateur , qui réside généralement dans votre système d'exploitation. 

Pour log sur un site web équipé de tbd, un utilisateur doit :

  • Enregistrez-vous. Vous suivrez le processus habituel de choix d'un nom d'utilisateur unique. Mais au lieu de choisir un mot de passe, vous fournirez des données biométriques ou enregistrerez une clé physique. 
  • Répétez. Lorsque vous souhaitez accéder au site log, vous devez fournir votre mot de passe et vérifier les détails de votre inscription. 

Au terme de ce processus, vous obtiendrez ce que l'on appelle un identifiant .IT est une paire de clés (une publique et une privée) pour le site web. Votre clé privée reste sur votre terminal privé et nulle part ailleurs. Votre clé publique est stockée sur le serveur.

Vous ne savez peut-être pas à quoi ressemblent ces clés ni comment elles fonctionnent. Mais ils jouent un rôle essentiel dans chaque tentative de connexion. 

Lorsque vous êtes prêt à vous rendre à nouveau sur le site log, votre terminal et le serveur passent par une série d'étapes.

  • Tentative : Vous entrez votre nom d'utilisateur ou indiquez que vous souhaitez accéder au serveur. Votre système envoie vos identifiants, y compris des instructions sur l'emplacement de votre clé.
  • Contact : Le navigateur se connecte à l'authentificateur pour déterminer si vous disposez de tous les éléments nécessaires et si vous êtes autorisé à entrer. 
  • Approbation : Si vous disposez de tous les éléments nécessaires, l'authentificateur signe l'approbation de votre connexion et l'envoie. 
  • Contact avec le serveur : Le serveur examine toutes les informations envoyées, vérifie les technologies de l'information et vous autorise à entrer. 

L'utilisation de clés publiques et privées rend tbd incroyablement sûr. Vous n'avez pas besoin de vous souvenir de quoi que ce soit, mais vous avez créé un nom d'utilisateur et un mot de passe uniques pour le site. En fait, vous suivez le mot de passe bonne pratique sans même essayer.

Comment le tbd est mis en œuvre 

L'adoption généralisée était l'objectif de l'équipe du W3C. Ils souhaitaient que le plus grand nombre possible de sites web utilisent cette technologie pour protéger le site web. Par conséquent, ils ont conçu le code en gardant à l'esprit la simplicité et la facilité. 

tbd est une extension de la gestion des identifiants API. L'informatique remplit deux fonctions principales.

  • Navigator.identifiants.create est utilisé pour enregistrer un nouveau compte ou associer de nouvelles clés à un compte existant. 
  • Navigator.identifiants.get est utilisé pour log dans un utilisateur avec des identifiants existants. 

Google souligne que les techniques d'intégration varient considérablement d'un site web à l'autre. Si vous gérez un monopage d'application, vous n'aurez pas le même travail à faire que quelqu'un qui a un site complexe rempli de popups. Mais Google propose de nombreux sites support et conseils aux développeurs qui souhaitent comprendre le code et appliquer correctement les technologies de l'information. 

Vous devrez également informer votre utilisateur de ce changement. Par exemple, si vous souhaitez utiliser tbd avec clé physique uniquement (et non avec biométrie), il se peut que vous ayez besoin que votre utilisateur le comprenne bien à l'avance afin qu'il puisse acheter les éléments dont il a besoin bien avant que les changements ne soient mis en œuvre.

Avez-vous besoin de l'authentification de votre site web ?

Changer de système de connexion hérité peut être éprouvant, tant pour vous que pour votre utilisateur. Mais les nouvelles technologies présentent de nombreux avantages que vous ne pouvez ignorer. 

Incorporez tbd dans votre site web, et vous pourriez obtenir :

  • Protection. Une personne dont le tbd a été volé ne peut pas entrer, car l'authentification varie d'un site à l'autre. 
  • Conformité. web responsable sait que la réutilisation du tbd est grave, mais 45 % des gens ne sont pas d'accord. En vous installant dans ces nouvelles technologies, vous n'aurez plus à persuader les gens de suivre vos règles. Ils doivent le faire pour obtenir l'accès. 
  • Risque réduit. Les pirates informatiques aiment creuser profondément dans votre base de données pour obtenir des mots de passe et des noms d'utilisateur. Comme ils ne peuvent plus réutiliser ces données, ils peuvent se tourner vers une nouvelle cible. 
  • Meilleure expérience client. Environ un tiers des clients abandonnent leur panier d'achat parce qu'ils ne se souviennent pas de leur nom d'utilisateur ou de leur mot de passe. De nombreux utilisateurs d'applications font de même. Dans un monde tbd, les gens n'ont pas besoin d'une mémoire exceptionnelle pour se rendre là où ils doivent aller. 

Nous savons que le simple fait de penser à cette nouvelle technologie peut être stressant, mais les avantages sont évidents. Nous pouvons vous aider.

Découvrez la facilité et la sécurité de l'authentification sur web grâce aux services de gestion des identités de Okta. Contactez nous, et commençons.

Références

Voici pourquoi Google, Apple et Microsoft pensent qu'il est temps de tuer le mot de passe. (janvier 2020). CNBC.

Activation de l'authentification forte avec tbd. (mai 2018). Google. 

Verizon DBIR 2020 : vol d'identifiants, hameçonnage, attaques en nuage (juin 2020). Security Boulevard.

Un regard sur la sécurité des mots de passe, partie IV : à confirmer. (août 2020), Mozilla. 

Le W3C finalise la norme d'authentification web. (Mars 2019). ZDNet. 

Apple se joint à l'effort de l'industrie pour éliminer le tbd. (février 2020), Computerworld. 

Authentification sur le web : API pour l'accès aux identifiants à clé publique. (Mars 2019). W3C. 

Rationalisation du flux de connexion à l'aide d'identifiants Management API. (avril 2016). Google. 

tbd : Ce que vous devez savoir sur l'avenir du web sans mot de passe. (Mars 2019). PCWorld. 

Vos employés réutilisent tbd. Découvrez combien. (juin 2020), Sécurité informatique. 

Lorsque les clients oublient leur tbd, les entreprises en pâtissent. (Juin 2017). Phys.organisation. 

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter