Oktane fut un vrai succès ! Visionner nos sessions à la demande.
Essai gratuit Nous contacter

Introduction aux passkeys, alternative avantageuse aux mots de passe

À propos de l’auteur

Salman Ladha

Senior Product Marketing Manager

Salman is Senior Product Marketing Manager at Okta, focused on communicating the value of Customer Identity as part of the digital experience. In a career that spans Auth0 (now Okta Customer Identity Cloud), Vidyard and Unbounce, Salman has helped emerging and enterprise companies improve customer acquisition, retention, and loyalty using SaaS marketing technologies in their go-to-market strategies. Outside Okta, he enjoys reading, working out, and catching the latest Marvel movie.

23 juillet 2024 Temps de lecture: ~

Sommaire

Vous ne voulez jamais que l'identité soit un obstacle entre vous et vos clients. Mais le récent Customer Identity Trends Report d’Okta a révélé que :

  • 33 % des personnes interrogées indiquent ressentir de la frustration lorsqu’elles doivent créer un mot de passe respectant un certain nombre de critères. 
  • 63 % des répondants ont confié qu’au moins une fois par mois, ils sont dans l’incapacité de se connecter à un compte car ils ont oublié leur nom d’utilisateur ou mot de passe.

Malgré toute cette frustration, les mots de passe restent l'une des formes d'authentification en ligne les plus courantes, même s'ils sont peu pratiques et peu sûrs. 

Pour lutter contre le fléau des mots de passe, l'authentification sans mot de passe a gagné en popularité au fil des ans, car elle permet aux entreprises de protéger leurs clients tout en offrant une plus grande commodité. La plus récente innovation dans ce domaine sont les clés d'identification, offertes par la FIDO Alliance

La situation a beaucoup évolué depuis leur introduction, en termes de nomenclature et de disponibilité. En revanche, il reste encore beaucoup à faire pour expliquer en quoi consistent les passkeys, comment elles fonctionnent et quels sont leurs avantages. 

Cet article vise à faire toute la lumière sur les passkeys, technologie émergente et innovante.

Passkeys : de quoi s’agit-il ?

Les passkeys remplacent les mots de passe par ce que FIDO note comme des « connexions plus rapides, plus faciles et plus sûres aux sites Web et aux applications sur les appareils d'un utilisateur ». Ajoutant que « contrairement aux mots de passe, les passkeys sont toujours forts et résistants au phishing ». 

Dès lors que les passkeys remplacent les mots de passe, elles sont considérées comme une forme d’authentification sans mot de passe. 

Pour être un peu plus technique, une passkey est une paire de clés cryptographiques — une pour votre organisation qui est publique et une pour votre utilisateur connu qui est privée. Il est important de noter qu'il s'agit d'une clé privée car votre organisation ne la voit jamais. Ces paires de clés jouent un rôle essentiel dans l'authentification réelle d'un utilisateur, mais nous y reviendrons dans un instant.  

Les passkeys se présentent sous deux formes :

  • Les passkeys synchronisées, qui se synchronisent entre les appareils d'un utilisateur via un service cloud, comme un écosystème de système d'exploitation ou un gestionnaire de mots de passe. Pour les clients, l'avantage est que la même clé d'identification peut être utilisée sur plusieurs appareils dans un écosystème donné.  
  • Les clés d'identification liées à l'appareil, qui ne quittent jamais l'appareil sur lequel elles sont générées. Elles peuvent être utilisées sur les clés de sécurité FIDO, y compris celles qui ont obtenu une certification de niveau de sécurité.

L’expérience est fluide, particulièrement dans le cas des passkeys synchronisées : le mode d’accès est similaire à celui employé pour déverrouiller un terminal mobile, à savoir avec un facteur biométrique, un code PIN ou un schéma à dessiner. 

Fonctionnement des passkeys

Comme nous l'avons mentionné précédemment, les passkeys s’appuient sur la cryptographie à clé publique pour l’authentification, et non sur les mots de passe. Cette approche est nettement plus sûre, car aucun secret partagé (mot de passe) n’est transféré au serveur d’applications. À la place, elle utilise une paire de clés publique/privée pour s’authentifier dans l’application. La clé publique est stockée sur le serveur de l’application (au lieu du mot de passe) et la clé privée correspondante est conservée sur le terminal de l’utilisateur. L’avantage est que la clé privée n’est pas partagée avec l’application comme c’est le cas d’un mot de passe.

Dans ce modèle, lorsqu’un utilisateur tente de se connecter, au lieu de vérifier son identité avec un mot de passe, le serveur envoie une demande d’authentification numérique qui ne peut être résolue qu’en apportant la preuve qu’il est le propriétaire de la clé privée. Il utilise pour cela un mécanisme de déverrouillage de terminal, par exemple la biométrie, un code PIN ou un schéma à dessiner sur un téléphone, une tablette ou un ordinateur portable. Après le déverrouillage, la clé privée « signe » la demande d’authentification et la renvoie au serveur afin qu’elle soit validée par la clé publique. 

Du point de vue de l’expérience utilisateur, notez que toute la complexité cryptographique (et les avantages de sécurité) intervient en arrière-plan. La méthode est tout aussi pratique qu’un simple déverrouillage de terminal.  

Avantages des passkeys

Les passkeys améliorent à la fois la praticité et la sécurité. 

En ce qui concerne les clients qui accèdent à votre application, vous pouvez améliorer les taux de conversion grâce à des expériences d’inscription et de connexion simples, tout en renforçant la fidélité en proposant des niveaux de sécurité très élevés. 

Puisqu'elles sont basées sur les normes FIDO, les clés d'identification sont intentionnellement conçues pour être plus résistantes aux attaques telles que le phishing, dans lesquelles des acteurs malveillants utilisent des communications écrites (par exemple, des e-mails, des SMS ou des sites web fictifs) pour se faire passer pour une source réputée afin de voler les informations d'identification d'une personne. 

Et comme indiqué ci-dessus, avec les clés d'identification, les organisations peuvent tirer parti de la technologie existante que les consommateurs connaissent et utilisent quotidiennement. Une approche normalisée permet aux consommateurs qui utilisent des appareils dans l’écosystème Apple, Google ou Microsoft de créer et d’accéder à une clé d’identification de la même manière qu’ils déverrouillent leurs appareils. 

Intéressons-nous de plus près aux avantages en termes de sécurité et d’expérience utilisateur. 

Avantages en matière de sécurité

  • Résistant au phishing : CNBC a signalé une augmentation de 61 % des attaques de phishing en 2022. Les clés d’identification bloquent les attaques d’ingénierie sociale, car elles ne fonctionnent que pour le site Web pour lequel elles ont été créées. 
  • Plus sûr contre les violations de données : Les bases de données sont une cible de choix pour les cybercriminels, car elles stockent fréquemment des mots de passe et d'autres données personnelles. Comme aucun secret partagé (mot de passe) n'est échangé, les serveurs de votre organisation deviennent une cible moins attrayante pour les acteurs malveillants qui cherchent à voler les informations d'identification des clients.
  • Fort par défaut : contrairement aux mots de passe, les passkeys sont toujours forts, ne peuvent jamais être devinés ou vus, ce qui les rend moins susceptibles aux attaques d'ingénierie sociale.

Avantages en matière d’expérience utilisateur  

  • Création de compte sans mot de passe : Les passkeys peuvent améliorer les taux de conversion en rendant le parcours de « utilisateur inconnu » à « client connu » sans mot de passe. Les données de Google montrent que les utilisateurs qui s'authentifient avec des passkeys sont quatre fois plus susceptibles de convertir. 
  • Évolutivité sur tous les appareils : Les consommateurs ont plus d'une façon d'interagir avec votre marque. Les passkeys permettent un accès transparent en permettant aux consommateurs d'utiliser la même passkey sur plusieurs appareils d'un écosystème donné. Contrairement aux mots de passe, ils créent une clé d'identification une fois et peuvent l'utiliser partout. 
  • Moins de mots de passe, moins de raisons d'abandonner : 83 % des clients abandonnent la création de compte en raison de politiques de mots de passe fastidieuses. Grâce aux clés d'identification, vous pouvez améliorer l'engagement et la fidélisation des utilisateurs en éliminant la nécessité fastidieuse (et non sécurisée) de saisir une chaîne de caractères.

Amélioration de la flexibilité grâce aux passkeys

En résumé : 

  • Les passkeys représentent une méthode alternative aux mots de passe proposée par l'Alliance FIDO.
  • Grâce à elles, il n’est plus nécessaire de mémoriser des mots de passe complexes.
  • Elles permettent aux utilisateurs de se connecter de la même façon qu’ils déverrouillent leurs terminaux mobiles.
  • Elles renforcent la sécurité grâce à leur résistance au phishing. 
  • Elles réduisent les points de friction et améliorent ainsi les taux de conversion. 

C’est pour toutes ces raisons que le secteur de la sécurité trouve tant d’attrait aux passkeys.

Mais il convient d’adopter une perspective plus large. Si Okta, comme d’autres, est enthousiaste vis-à-vis des possibilités qu’offrent les passkeys, les entreprises doivent répondre aux attentes des utilisateurs, quelle que soit leur méthode d’authentification de prédilection. Il est donc capital de pouvoir satisfaire un ensemble de besoins variés. 

Les fournisseurs de services comme Apple et Google ont intégré la flexibilité à la connexion avec leurs produits. Avec les clés d'identification activées au sein d'une plateforme CIAM robuste, vous pouvez offrir une flexibilité similaire, sur tous les appareils et plateformes.

Notre objectif est de continuer à répondre à un éventail toujours plus large d’exigences afin d’aider les entreprises à proposer à leurs clients des méthodes d’authentification qui leur conviennent. Okta prend en charge plusieurs formes d’authentification (y compris les passkeys) en configuration par défaut et adhère aux valeurs fondamentales attendues d’une plateforme de gestion des identités clients en matière d’autorisation, de gestion des utilisateurs et de sécurité des identités. Plateforme extensible et conviviale, Okta Customer Identity Cloud offre aux développeurs et aux équipes digitales les outils dont ils ont besoin pour protéger les utilisateurs et leur offrir une expérience optimale.

Vous souhaitez en savoir plus sur la façon dont votre organisation peut utiliser CIAM pour assurer un avenir sans mot de passe avec les clés d'identification ? Contactez-nous pour plus d'informations.

– 

Pour les documents contenant des concepts de confidentialité/juridiques ou des conseils en matière de confidentialité/sécurité:

Ces documents et toutes les recommandations qu'ils contiennent ne constituent pas des conseils juridiques, en matière de confidentialité, de sécurité, de conformité ou commerciaux. Ces documents sont destinés uniquement à des fins d'information générale et peuvent ne pas refléter les développements juridiques, de confidentialité et de sécurité les plus récents ni tous les problèmes pertinents. Il est de votre responsabilité d'obtenir des conseils juridiques, de sécurité, de confidentialité, de conformité ou commerciaux auprès de votre propre avocat ou autre conseiller professionnel et vous ne devez pas vous fier aux recommandations contenues dans les présents documents. Okta n'est pas responsable envers vous de toute perte ou de tout dommage pouvant résulter de votre mise en œuvre de toute recommandation contenue dans les présents documents. Okta ne fait aucune déclaration, garantie ou autre assurance concernant le contenu des présents documents. Des informations concernant les assurances contractuelles d'Okta à ses clients sont disponibles à l'adresse suivante :okta.com/agreements.

À propos de l’auteur

Salman Ladha

Senior Product Marketing Manager

Salman is Senior Product Marketing Manager at Okta, focused on communicating the value of Customer Identity as part of the digital experience. In a career that spans Auth0 (now Okta Customer Identity Cloud), Vidyard and Unbounce, Salman has helped emerging and enterprise companies improve customer acquisition, retention, and loyalty using SaaS marketing technologies in their go-to-market strategies. Outside Okta, he enjoys reading, working out, and catching the latest Marvel movie.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter