L'authentification est un processus qui consiste à prouver qu'un fait ou un document est authentique. En informatique, ce terme est généralement associé à la preuve de l'identité d'un utilisateur. Habituellement, un utilisateur prouve son identité en fournissant ses informations d'identification, c'est-à-dire un élément d'information convenu et partagé entre l'utilisateur et le système.

La combinaison d'un nom d'utilisateur et d'un mot de passe est le mécanisme d'authentification le plus populaire, également connu sous le nom d'authentification par mot de passe.

Un exemple bien connu est l'accès à un compte utilisateur sur un site Web, ou un fournisseur de services tel que Facebook ou Gmail. Avant de pouvoir accéder à votre compte, vous devez prouver que vous possédez les bons identifiants de connexion. Les services affichent généralement une fenêtre qui demande un nom d'utilisateur ainsi qu'un mot de passe. Ils comparent ensuite les données saisies par l'utilisateur avec les valeurs précédemment stockées dans un référentiel interne.

Si vous saisissez une combinaison valide de ces informations d'identification, le fournisseur de services vous permettra de continuer et vous donnera accès à votre compte.

Alors que le nom d'utilisateur peut être public, par exemple une adresse e-mail, le mot de passe doit rester confidentiel. En raison de sa confidentialité, le mot de passe doit être protégé contre les tentatives de vols organisés par des cybercriminels. En fait, bien que les noms d'utilisateur et les mots de passe soient largement utilisés sur Internet, ils sont réputés être un mécanisme de sécurité faible que les pirates exploitent régulièrement.

La première façon de les protéger est d'imposer un niveau élevé de force des mots de passe, c'est-à-dire un niveau de complexité tel que les attaquants malveillants ne puissent pas les deviner facilement. En règle générale, une combinaison complexe de lettres minuscules et majuscules, de chiffres et de caractères spéciaux donne un mot de passe fort. Dans le cas contraire, une combinaison simple donne un mot de passe faible.

Les utilisateurs finaux ont notoirement tendance à utiliser des mots de passe faibles. Dans un rapport annuel, SplashData, une société de sécurité Internet, a identifié les 25 mots de passe les plus courants. Cette liste, basée sur des millions de mots de passe révélés par des violations de données, indique que des millions d'utilisateurs utilisent des mots de passe tels que « 123456 » et « motdepasse » pour s'authentifier.

C'est une question de facilité d'utilisation, car les mots de passe faibles sont évidemment plus faciles à retenir. En outre, ils réutilisent souvent le même mot de passe avec différents sites Web ou services.

La combinaison de ces situations peut générer des problèmes de sécurité, car les mots de passe faibles sont faciles à deviner et le mot de passe divulgué peut être utilisé pour accéder à plusieurs services.

D'un autre côté, les mots de passe forts utilisés pour l'authentification peuvent résister aux attaques par force brute, mais restent impuissants contre des attaques comme le phishing et les logiciels enregistreurs de frappe ou le bourrage de mot de passe. Ces types d'attaques n'essaient pas de deviner le mot de passe de l'utilisateur, mais le lui dérobent directement.

Les mots de passe posent également problème lorsqu'ils ne sont pas stockés de manière sécurisée. Par exemple, dans un reportage récent, Facebook a révélé avoir stocké des millions de mots de passe Instagram en texte clair. Les mots de passe doivent toujours être stockés en utilisant les meilleures pratiques, telles que le hachage.

Une catégorie spécifique d'informations d'identification, comme le nom d'utilisateur et le mot de passe, est généralement appelée facteur d'authentification. Même si l'authentification par mot de passe est le type d'authentification le plus connu, d'autres facteurs d'authentification sont disponibles. Les trois principaux types de facteurs d'authentification sont généralement classés comme suit :

Quelque chose que vous savez, par exemple un mot de passe

Quelque chose que vous avez, par exemple un smartphone

Quelque chose que vous êtes, par exemple une authentification biométrique

Quelque chose que vous savez

Ce facteur d'authentification exige que l'utilisateur montre qu'il connaît une information donnée. En général, il s'agit d'un mot de passe ou d'un numéro d'identification personnel (PIN) partagé entre l'utilisateur et le système de gestion des identités et des accès (IAM).

Pour utiliser ce facteur, le système demande à l'utilisateur de fournir ces informations partagées.

Quelque chose que vous avez

Dans ce cas, l'utilisateur doit prouver qu'il possède quelque chose, comme un smartphone, une carte à puce, une boîte aux lettres. Le système pose à l'utilisateur une question ou un défi. Sa réponse prouvera s’il a ou non le facteur d'authentification requis. Par exemple, il peut lui envoyer un mot de passe à usage unique basé sur le temps (TOTP) dans un message texte sur son smartphone. Il peut également lui envoyer un code texte par e-mail.

Quelque chose que vous êtes

Ce facteur d'authentification est basé sur une information stockée dans le profil de l'utilisateur et qui est absolument spécifique à cet utilisateur (facteur d'inhérence). Généralement, cette information est une caractéristique biométrique, comme les empreintes digitales ou la voix. La reconnaissance faciale fait également partie de ce type de facteur d'authentification.

Le processus d'authentification basé sur un seul facteur est appelé Authentification à un seul facteur.

Il s'agit du cas courant de l'utilisation de noms d'utilisateur et de mots de passe pour l'authentification des utilisateurs, mais cela s'applique à tout autre facteur d'authentification. Comme nous l'avons vu plus haut, l'authentification par mot de passe peut être un mécanisme d'authentification faible. Des recherches ont montré qu'environ 76% des entreprises ont subi une attaque de phishing, tandis que 81% des violations de données sont basées sur des mots de passe volés ou faibles.

Vous pouvez utiliser des facteurs d'authentification supplémentaires pour renforcer la sécurité du processus d'authentification. Par exemple, dans votre compte Google, vous pouvez activer la transmission d'une notification à votre appareil mobile après l'authentification habituelle basée sur le nom d'utilisateur et le mot de passe. Dans ce cas, vous utilisez une authentification à deux facteurs (2FA): un mécanisme d'authentification basé sur deux catégories d'informations d'identification : quelque chose que vous savez et quelque chose que vous avez. En ajoutant ce deuxième facteur, votre compte est plus sécurisé. En effet, même si un attaquant vole votre mot de passe, il ne peut pas s'authentifier car il lui manque le deuxième facteur d'authentification.

Vous pouvez combiner plusieurs facteurs d'authentification, ce qui renforce encore la sécurité de votre identité. Dans ce cas, vous utilisez une authentification multi-facteur (MFA). Bien sûr, la méthode 2FA n'est qu'une forme de MFA.

Comme son nom l'indique, l'authentification sans mot de passe est un mécanisme d'authentification qui ne demande pas de mot de passe. La principale motivation de ce type d'authentification est d'atténuer la frustration et les efforts que causent les mots de passe, c'est-à-dire l'effort constamment nécessaire de mémoriser des mots de passe fort et de les protéger.

Ne pas avoir à mémoriser des mots de passe contribue à rendre inutiles les attaques de phishing.

Vous pouvez effectuer une authentification sans mot de passe avec n'importe quel facteur d'authentification en fonction de ce que vous avez et de ce que vous êtes. Par exemple, vous pouvez permettre à l'utilisateur d'accéder à un service ou à une application en envoyant un code par e-mail ou par reconnaissance faciale.

Comme Auth0 est une société d'identité en tant que service, l'authentification est au cœur de nos services. Chaque mois, Auth0 gère 2,5 milliards de processus d'authentification pour aider les entreprises de toutes tailles à sécuriser leurs systèmes. Chaque employé d'Auth0 participe d'une manière ou d'une autre à rendre les processus d'authentification plus sûrs et plus faciles à mettre en œuvre.

Des certifications de conformité telles que ISO27001 et SOC 2 Type II aux fonctions de sécurité comme la détection des usurpations de mot de passe, les employés d'Auth0 travaillent 24 heures sur 24 pour fournir des solutions d'authentification de classe mondiale qui répondent aux besoins de chaque entreprise. Si vous souhaitez en savoir plus sur l'authentification ou sur la manière dont Auth0 peut vous aider à la mettre en œuvre en toute sécurité, suivez cette formation.

Poursuivez la lecture de notre page Introduction à l'IAM pour explorer d'autres sujets relatifs à la gestion des identités et des accès.