Se connecter à un site web ou à un service en utilisant la combinaison traditionnelle nom d'utilisateur/mot de passe n'est plus la meilleure ou la plus sûre façon de procéder. À mesure que les cybercriminels deviennent de plus en plus technologiquement avancés, les méthodes de protection des données doivent également progresser. C'est là que de nouvelles normes d'authentification telles que FIDO2 peuvent devenir un outil utile dans la lutte contre le problème.
Mais, qu'est-ce que l'authentification sans mot de passe FIDO2, et quels outils d'authentification sont utilisés à la place des mots de passe ? Comment fonctionnent même les clés de sécurité FIDO2 ? Nous répondrons à ces questions et à bien d'autres questions essentielles concernant cette norme d'authentification sans mot de passe dans cette vue d'ensemble détaillée. Continuez à lire pour tout savoir sur le protocole FIDO2.
Qu'est-ce que FIDO2 ? La nouvelle norme sans mot de passe
FIDO signifie Fast Identity Online. Avec un numéro deux ajouté à la fin, cet acronyme est basé sur les travaux précédents réalisés par l' Alliance FIDO, notamment en ce qui concerne le développement de la norme d'authentification Universal 2nd Factor (U2F).
L'Alliance FIDO a été fondée en juillet 2012 par PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon et Agnitio. Le but de cette alliance était de réduire la dépendance aux mots de passe traditionnels et d'améliorer le fonctionnement de l'authentification d'identité.
FIDO est la troisième norme à émerger de l'Alliance FIDO, après le FIDO Universal Second Factor (U2F) et le FIDO Universal Authentication Framework (UAF).
L'objectif principal de FIDO2 est d'éliminer l'utilisation de mots de passe sur Internet. Il a été développé pour introduire des normes ouvertes et sans licence pour une authentification sécurisée e sans mot de passe sur Internet.
Le processus d'authentification FIDO2 élimine les menaces traditionnelles liées à l'utilisation d'un nom d'utilisateur et d'un mot de passe de connexion, en remplaçant cela par la norme de connexion FIDO2. En tant que tel, il protège contre les attaques en ligne courantes telles que le phishing et les attaques de l'homme du milieu.
En mai 2022, Apple, Google et Microsoft ont annoncé leur soutien aux nouvelles normes d'authentification sans mot de passe. Populairement appelé "passkeys" par les fournisseurs, ce nouveau schéma de "multi-appareil FIDO credential" a suscité une attention significative en raison du fait que les informations d'identification pourraient survivre à la perte d'un appareil.
Une clé de passe est la même qu'une clé FIDO dans le sens où la clé de passe est générée une fois que l'utilisateur a vérifié son identité. Ces clés de passe se composent d'une paire de clés publique et privée avec un cryptage de bout en bout qui sécurise les informations d'identification lors de la synchronisation sur différents appareils.
Comment fonctionne FIDO2 ?
Le protocole FIDO2 utilise la cryptographie à clé publique pour garantir un système d'authentification sécurisé et pratique. La norme FIDO2 utilise une clé publique et privée pour valider l'identité de chaque utilisateur afin d'atteindre cet objectif. Pour utiliser l'authentification FIDO2, vous devrez vous inscrire à des services pris en charge par FIDO2.
Alors, comment cela se présente-t-il en pratique ? Voici un exemple rapide de FIDO2 qui illustre comment fonctionne le protocole FIDO2 :
- Lorsque l'utilisateur tente une connexion FIDO2 dans une application, le serveur FIDO2 utilise WebAuthn pour envoyer un défi au client FIDO, lui demandant de signer les données avec la clé privée FIDO2.
- L'utilisateur utilise ensuite la méthode d'authentification préalablement configurée pour répondre à cette demande. Pendant ce processus, le domaine du serveur FIDO2 est vérifié pour s'assurer qu'il s'agit du bon domaine utilisé précédemment lors de l'enregistrement. Cette étape supplémentaire de l'implémentation de FIDO2 assure une forte résistance au phishing.
- Le client FIDO obtient la clé privée FIDO de l'authentificateur. Cela peut se faire soit via une clé de passe FIDO, une clé de sécurité physique, ou une application mobile.
- Le client FIDO signe ensuite le défi pour prouver sa validité, et l'utilisateur obtient l'accès à la plateforme ou au service.
Alors que les plus grandes plates-formes du monde telles qu'Apple, Google et Microsoft soutiennent FIDO, elles ne sont pas les seules forces motrices derrière l'Alliance FIDO et collaborent aux côtés de des centaines d'entreprises du monde entier pour rendre une authentification plus simple et plus sécurisée une réalité.
Pour configurer des connexions sans mot de passe, vous devez suivre quelques étapes de configuration :
- Vous devez remplir le formulaire d'inscription approprié et choisir un authentificateur FIDO2 (soit un appareil FIDO2 ou un module de plateforme de confiance).
- Le service générera une paire de clés d'authentification FIDO2.
- Votre authentificateur FIDO2 envoie la clé publique au service, tandis que la clé privée contenant des informations sensibles reste sur votre appareil.
Flux d'authentification FIDO
Une fois que le chemin de communication sécurisé est activé, les informations d'identification de configuration sont stockées de façon permanente, ce qui permet des connexions ultérieures. Ce qu'il est particulièrement important de se rappeler pour ce processus de connexion sécurisé sur le web, c'est que vous n'échangez aucun secret avec les serveurs. La pièce maîtresse cruciale d'informations, qui est votre clé de sécurité FIDO2, reste toujours sur votre appareil.
Bien sûr, il est également essentiel de se rappeler que ces clés de passe FIDO ne sont qu'une étape du processus, et non pas la solution définitive. Les organisations doivent considérer que FIDO est encore en évolution, et il est crucial de rester à jour avec les changements et adaptations futurs.
Cas d'utilisation de l'authentification FIDO2
Alors, comment l'authentification FIDO2 affecte-t-elle l'expérience utilisateur globale à travers des exemples concrets ? Encore plus important pour l'utilisateur moyen, sous quelle forme pouvez-vous l'implémenter dans votre vie quotidienne ? Examinons de plus près comment vous pouvez mettre en œuvre la connexion sans mot de passe FIDO2 sous différentes formes :
1. Authenticateurs de plateforme
Ces types d'authentificateurs sont généralement non amovibles du dispositif client, car ils sont déjà intégrés au dispositif. En d'autres termes, aucun autre dispositif externe n'est impliqué dans le processus d'authentification. Cela les rend très pratiques pour les authentifications répétées.
Exemple d'authentification de plateforme
2. Authenticateurs multiplateformes.
Également connus sous le nom d'authentificateurs itinérants, ce sont des serveurs de dispositifs externes qui sont amovibles et peuvent être utilisés sur différents dispositifs. Avec l'authentification multiplateforme, un dispositif externe Bluetooth/NFC ou une clé de sécurité physique comme la clé Hideez peuvent être utilisés comme authentificateurs. L'avantage principal des authentificateurs multiplateformes est de rationaliser le processus d'authentification sur de nouveaux dispositifs.
FIDO2 vs. U2F - Quelle est la différence ?
Maintenant que nous comprenons comment fonctionne l'authentification FIDO2, il est également utile de comparer FIDO2 et FIDO U2F pour déterminer la différence. La différence la plus significative entre les deux est que le premier a été créé pour permettre à toute l'authentification de devenir sans mot de passe. Au contraire, FIDO U2F a été conçu pour servir de deuxième facteur pour les mots de passe.
Avantages et inconvénients de FIDO2
Avantages de FIDO2
Le plus grand avantage de l'authentification FIDO2 est qu'elle crée une fenêtre d'attaque beaucoup plus petite pour les cybercriminels. Pour accéder à vos informations privées sensibles, les attaquants auront besoin d'un authentificateur FIDO2, qui est physiquement toujours à vos côtés sous la forme de votre appareil ou de vos empreintes digitales.
Si vous utilisez plusieurs sites pris en charge par FIDO2, vous bénéficierez d'un autre avantage sous la forme d'une expérience plus rationalisée, car vous n'aurez pas à vous souvenir de plusieurs détails de connexion et mots de passe pour chacun de vos comptes. La clé de sécurité FIDO2 U2F fonctionnera partout pour toutes les plateformes prises en charge, offrant une sécurité et un confort utilisateur maximum.
Inconvénients de FIDO2
Bien sûr, comme toute autre méthode de sécurité dans le monde, la norme FIDO2 présente certains inconvénients. Ces inconvénients ne sont pas rédhibitoires, mais vous devez en être conscient si vous envisagez d'implémenter la connexion sans mot de passe FIDO2 comme pratique de sécurité.
Notamment, cette norme nécessite une étape de sécurité supplémentaire par rapport aux normes de connexion par mot de passe traditionnelles si vous l'utilisez comme composant régulier de l'authentification à deux facteurs. Avec cela à l'esprit, un tel système n'est pas le plus pratique si vous vous connectez plusieurs fois par jour à des clés de sécurité activées pour FIDO2.
De plus, comme cette méthode d'authentification n'est pas encore largement répandue, il n'y a pas beaucoup de clés de sécurité prises en charge par FIDO2 pour le moment, bien que le nombre de plates-formes et de navigateurs compatibles avec FIDO2 ou FIDO U2F soit en constante augmentation. Par exemple, vous pouvez activer la connexion sans mot de passe avec Facebook, Twitter, Google, Dropbox, GitHub, et plus de 300 autres services qui prennent en charge FIDO2 ou FIDO U2F.
Support de la plateforme/navigateur FIDO de la part de la FIDO Alliance
Commencer avec l'authentification FIDO2
Les cyberattaques nous ont montré que le facteur de risque humain est un aspect significatif des violations de sécurité. Avec la mise en œuvre de FIDO2 et l'authentification sans mot de passe, le facteur de risque humain est éliminé, permettant une expérience utilisateur beaucoup plus sûre. La mise en œuvre de FIDO2 s'intègre parfaitement dans un cadre de sécurité de confiance zéro. En plus d'être robuste et de se conformer aux politiques de sécurité les plus strictes, elle offre une expérience utilisateur pratique.
Les grandes entreprises technologiques telles que Microsoft, Google et Apple soutiennent déjà les options de clés de sécurité FIDO. Bien que cette forme de connexion sécurisée en soit encore à ses débuts, une chose est sûre : l'authentification sans mot de passe est l'avenir.
Pour les plus hauts niveaux de sécurité et de commodité, Hideez propose un système d'authentification sans mot de passe pour les organisations. Il permet à chaque organisation de déployer un serveur FIDO2 personnel qui permettra une expérience sans mot de passe pour tous les employés sans frais. Il peut être configuré pour fonctionner avec tous les services Web, même ceux ne prenant pas en charge les protocoles FIDO par défaut.
Chaque utilisateur pourra choisir une méthode d'authentification préférée : soit des clés de passe (appareils personnels), une application mobile transformant un smartphone en clé FIDO, soit une clé de sécurité physique. De plus, les clés physiques offrent des fonctionnalités supplémentaires telles que la connexion et la déconnexion basées sur la proximité avec un PC, l'accès basé sur un mot de passe aux systèmes hérités, la génération de OTP, et l'accès physique aux bâtiments basé sur la technologie RFID. La conception complexe de la clé Hideez garantit à la fois la commodité et la protection grâce à un ensemble de fonctionnalités uniques :
- Accès numérique basé sur mot de passe - Cette fonctionnalité de la clé Hideez offre une excellente expérience utilisateur. Vous pouvez utiliser la clé pour verrouiller ou déverrouiller votre PC Windows 10 par proximité et générer de nouveaux mots de passe complexes et des mots de passe à usage unique pour l'authentification à deux facteurs. De plus, vous pouvez stocker jusqu'à 1 000 identifiants et mots de passe de vos comptes existants et garantir leur remplissage automatique sécurisé. Cela inclut également les dossiers locaux protégés par mot de passe, les fichiers PDF, Word, ZIP et tout autre document que vous souhaitez garder en sécurité.
- Accès sans mot de passe - Le dispositif prend également en charge FIDO U2F et FIDO2, les deux normes d'authentification ouvertes visant à réduire la surdépendance mondiale aux mots de passe. Cela signifie que la clé Hideez peut être utilisée pour une authentification sans mot de passe et une authentification à deux facteurs sur les navigateurs et plateformes pris en charge par FIDO (services Google et Microsoft, Facebook, Twitter, Dropbox, Azure AD, etc.), dont le nombre est en constante augmentation. La clé Hideez prend en charge sans fil l'authentification FIDO sur les appareils Windows 10 et Android 8+ via la technologie Bluetooth Low Energy (BLE).
- Connexion par proximité - Un verrouillage de proximité intégré protégera votre ordinateur à chaque fois que vous vous éloignerez. En utilisant la clé Hideez, vous pouvez verrouiller et déverrouiller automatiquement votre poste de travail Windows en fonction de la force du Bluetooth entre la clé et votre PC. Vous pouvez personnaliser comment vous voulez le verrouiller en ajustant les seuils de proximité préférés et en choisissant la méthode de déverrouillage.
- Accès physique - Outre l'accès numérique, la clé Hideez offre également un accès physique pratique. Un tag RFID intégré peut être préprogrammé pour ouvrir n'importe quelle serrure de porte RFID dans les bureaux, les centres de données, les usines, etc., remplaçant ainsi une carte intelligente.
- Protection renforcée - La clé Hideez offre une protection renforcée contre le phishing, le pharming et toutes les autres attaques liées aux mots de passe. De plus, contrairement à la plupart des autres gestionnaires de mots de passe, la clé Hideez ne transmet aucun identifiant de connexion dans le cloud ou à des tiers.
Avec le service Hideez, chaque organisation peut passer sans mot de passe à 6 $ par utilisateur par mois. Lancez un essai gratuit de 30 jours pour comprendre son fonctionnement et voir les avantages de l'authentification sans mot de passe dans les environnements de travail.