Connexions sans mot de passe
Les connexions sans mot de passe permettent aux utilisateurs de se connecter sans avoir à mémoriser un mot de passe. Les utilisateurs saisissent plutôt leur numéro de téléphone mobile ou leur adresse courriel et reçoivent un mot de passe à usage unique (OTP) ou un lien qu’ils peuvent utiliser pour se connecter.
Lorsqu’un utilisateur s’authentifie au moyen d’une connexion sans mot de passe, son profil est créé sur la connexion en utilisant Auth0 comme fournisseur d’identité (IdP). Comme vous ne pouvez pas forcer les utilisateurs à utiliser le même numéro de téléphone mobile ou la même adresse courriel chaque fois qu’ils s’authentifient, les utilisateurs peuvent se retrouver avec plusieurs profils utilisateurs dans le magasin de données Auth0. Si cela se produit, vous pouvez associer plusieurs profils utilisateurs en liant leurs comptes.
Connexion sans mot de passe par rapport à l’ouverture de session sans mot de passe
Une connexion sans mot de passe est un autre type de connexion, distinct des connexions existantes par base de données, via réseau social ou entreprise. Bien qu’un utilisateur d’une base de données d’utilisateurs ou d’un fournisseur de réseau social Auth0 puisse partager la même adresse courriel, l’identité liée à leur connexion sans mot de passe reste unique. Tout comme la liaison de plusieurs adresses courriel ou numéros de téléphone mobile utilisés pour la connexion sans mot de passe, la liaison de compte peut également servir à relier une identité sans mot de passe à d’autres types d’identités.
Vous ne pouvez pas créer d’utilisateurs sans mot de passe à partir du Auth0 Dashboard. Créez-les directement avec la Management API si l’inscription est désactivée. Dans le champ Connection (Connexion), utilisez email (courriel) pour les utilisateurs sans mot de passe utilisant une adresse courriel et les messages texte (SMS) pour les utilisateurs sans mot de passe utilisant un numéro de téléphone mobile.
En plus de prendre en charge les connexions sans mot de passe, Auth0 vous permet de définir un flux sans mot de passe à l’aide de WebAuthn avec les données biométriques d’un appareil. Pour en savoir plus, consultez Configurer WebAuthn avec les données biométriques d’un appareil pour l’authentification sans mot de passe.
Avantages
Les avantages de l’authentification sans mot de passe comprennent :
Expérience améliorée pour l’utilisateur. Les utilisateurs n’ont besoin que d’une adresse courriel ou d’un numéro de téléphone mobile pour s’inscrire.
Sécurité renforcée. Les mots de passe constituent un point faible crucial, car les individus ont tendance à s’en servir plusieurs fois, voire même à les divulguer. Ils représentent le principal vecteur d’attaque et sont responsables d’une proportion significative de violations de données. De plus, ils peuvent entraîner des attaques telles que le bourrage d’identifiants, le piratage de comptes d’entreprise et les attaques par force brute.
Réduction du coût total de possession. La gestion des mots de passe est coûteuse : il faut implanter les politiques de complexité des mots de passe, la gestion des processus d’expiration et de réinitialisation des mots de passe, le hachage et le stockage des mots de passe, et la surveillance de la détection des mots de passe compromis.
Méthodes d’authentification prises en charge
Les connexions sans mot de passe Auth0 prennent en charge les OTP envoyés par SMS ou courriel, et les Magic Links envoyés par courriel.
SMS
Lorsque l’utilisateur utilise l’authentification sans mot de passe par SMS, il doit :
Fournir un numéro de téléphone mobile au lieu d’une combinaison nom d’utilisateur/mot de passe.
Obtenir un OTP par SMS.
Saisir l’OTP sur l’écran de connexion pour accéder à l’application.
Courriel
Lorsque l’utilisateur utilise l’authentification sans mot de passe avec courriel, il doit :
Fournir une adresse courriel au lieu d’une combinaison nom d’utilisateur/mot de passe.
Selon la configuration de votre connexion sans mot de passe, vous recevrez un OTP ou un Magic Link par courriel.
Saisissez l’OTP à l’écran de connexion (ou ouvrez le Magic Link dans le courriel) pour accéder à l’application.
Mettre en œuvre la connexion sans mot de passe
Pour mettre en œuvre la connexion sans mot de passe, vous devrez prendre deux décisions clés :
Quels sont les facteurs d’authentification que vous voulez prendre en charge?
Quel type de connexion vous voulez utiliser?
Facteurs d’authentification
Lorsque vous décidez de prendre en charge un facteur d’authentification, vous devez tenir compte de l’expérience de l’utilisateur, qui dépend de votre application et de son audience cible. Si l’application est exécutée sur les téléphones mobiles, il est fort probable que les utilisateurs pourront recevoir des messages SMS. Dans un contexte où l’utilisation d’une application Web interne s’impose, mais où les utilisateurs ne peuvent pas emporter leur téléphone mobile, l’envoi de courriels constitue la seule option.
Si vous choisissez d’utiliser le courriel, vous devrez décider entre les OTP ou les Magic Links. Nous recommandons d’utiliser des OTP, car le flux de connexion est plus prévisible pour les utilisateurs finaux. Pour en savoir plus sur les facteurs d’authentification, consultez les articles suivants :
Authentification sans mot de passe avec courriel et mots de passe à usage unique (OTP)
Authentification sans mot de passe avec courriel et Magic Links
Type de connexion
Auth0 recommande d’utiliser soit l’expérience de connexion universelle, soit celle de connexion classique pour mettre en œuvre l’authentification sans mot de passe. Toutefois, vous pouvez aussi décider que la connexion intégrée est le meilleur choix pour votre application.
Pour en savoir plus sur la configuration de l’authentification sans mot de passe pour les différents types de connexion, consultez les articles suivants :