Les solutions de Login sans mot de passe pour renforcer votre sécurité

Nous sommes confrontés au quotidien à la nécessité de se connecter à nos ordinateurs et smartphones, et en même temps au risque croissant de cyber-attaques pouvant tous nous concerner.

Le login à nos PC est fasitidieux si nous voulons utiliser un mot de passe robuste et, en même temps, nos mots de passe constituent la première cible de cyber-attaques.

Un mot de passe identifié par un hacker devient un risque majeur pour nos données, nos applications et les données que nous partageons avec d’autres utiliateurs. Nous allons voir comment le Login sans mot de passe nous protège et améliore notre sécurité.

Limites des login avec mot de passe

Complexité des mots de passe

Hive Systems a démontré depuis 2020 qu’un mot de passe peut être trouvé à l’aide de la puissance de calcul d’un processeur graphique du commerce. Par exemple pour un mot de passe de 8 caractères ils donnent les temps suivants selon leur complexité :

  • Chiffres seuls : en 37 secondes
  • Lettres minuscules : en 22 heures
  • Lettres majuscule/minuscule : en 8 mois
  • Chiffres + lettres majuscule/minuscule : en 3 ans
  • Chffres + lettres majuscule/minuscule + caractères spéciaux : en 7 ans

Il ressort de leur étude qu’un mot de passe peut résister aux hackers en 2024. Pour cela, il devrait être composée de 13 caractères minimum avec une combinaison de chiffres + lettres majuscule/ minuscule + caractères spéciaux (#, $, ^, …). Il nécessiterait alors  11 milliards d’années de calcul.

La complexité du mot de passe est donc le premier critère pour être résistant aux hackers.

    Algorithme de hachage

    L’étude de Hive Systems en 2024 a mis en évidence un second critère : l’algorithme de hachage. Par exemple un mot de passe de 8 caractères (chiffres + lettres majuscule/minuscule + caractères spéciaux) serait trouvé :

    • en 1 seconde avec l’agorithme MD5.
    • en 5 jours avec l’algorithme bcrypt.

    Hachage : algorithme utilisé pour convertir le mot de passe saisi en une chaîne codée de texte. Par exemple le mot de passe « MonMotdePasse2024 » génère le code « E3F8B8436A2ED35AE3A4AFC82BB421E9 » avec l’algorithme MD5. Ce code est non réversible, ce qui signifie qu’il n’existe pas d’algorithme pour obtenir le mot de passe en clair à partir du code et c’est ce code qui est stocké.

    L’algorithme bcrypt est conçu pour mettre plus de temps à convertir le mot de passe. Il est donc plus résistant aux techniques dites de force brute. Par contre l’algorithme SHA-256 est conçu pour être plus rapide à convertir un mot de passe, il sera privilégié par les applications nécessitant de fréquentes saisies de mot de passe.

    Le calcul du temps nécessaire à trouver un mot de passe dépend donc de sa complexité et de l’algorithme de hachage utilisé dans nos applications.

    Les mots de passe sont vulnérables

    Dans la réalité de tous les jours, les mots de passe sont clairement vulnérables. Ils sont trop courts ou utilisent des séquences de lettres ou chiffres identifiables instantanément. Si vous gérez plusieurs dizaines de mots de passe, comme la moyenne des utilisateurs, il est fréquent de réutiliser un mot de passe pour plusieurs comptes ou de faire varier un mot de passe avec une séquence de chiffre que l’on incrémente à chaque modification.

    En résumé, il est possible d’utiliser des mots de passe forts et résistants aux hackers. Mais il n’est tout simplement pas réaliste de déverrouiller son PC avec un mot de passe complexe plusieurs dizaines de fois par jour.

    Solutions de login sans mot de passe

    Solution de login sans mot de passe

    Les solutions de login sans mot de passe sont aujourd’hui supportées par le système d’exploitation de votre PC (Windows ou Mac OS) et de vos smartphones (Android ou IOS). Leur activation dépend du matériel : PC, capteur ou caméra.

    Les solutions de login sans mot de passe s’appuient sur 3 types de solution pour vous authentifier :

    • Ce que vous connaissez : un code PIN ou un schéma (mouvement à réaliser sur une image).
    • Ce que vous êtes: vos empreintes digitales, votre visage ou vos iris.
    • Ce que vous possédez: une clé de sécurité ou un badge.

    Il s’agit de solutions de login pour ouvrir une session sur un PC ou déverrouiller une session active. Il ne faut pas les confondre avec les solutions d’authentification dans vos applications en local ou en web. Celles-ci vont être complétées de facteurs supplémentaires (MFA) ou de solutions plus élaborées permettant de partager un login avec plusieurs applications (SSO).

    Solution Code PIN / Schéma

    Ces solutions de login vous donnent accès à une session sur votre PC et implicitement à votre compte Windows. Cette distinction entre la session et le compte a son importance pour les deux solutions utilisant le code PIN ou le schéma.

    En effet, le code PIN n’est pas une simplification du mot de passe avec un code numérique à 6 chiffres, qui pourrait sembler moins robuste qu’un mot de passe. Le code PIN utilise un credential stocké sur votre PC (Trusted Platform Module basé sur un chip matériel), celui-ci est ensuite utilisé pour vous authentifier à votre compte. Il est donc fiable et ne peut pas être utilisé sur un autre PC.

    Solutions bio-métriques

    Login bio-métrique

    Les solutions bio-métriques sont les plus simples d’utilisation, car réellement sans saisie, et personne ne peut les utiliser à votre place. Ces solutions nécessitent une configuration pour capturer vos empreintes ou numériser votre visage, qui sont ensuite stockés de manière sûre sur votre PC, votre smartphone ou directement sur le capteur.

    Les solutions avec reconnaissance d’empreinte digitale sont aujourd’hui courantes, il faut toutefois s’assurer dans le cas de capteur externe qu’il utilise la technologie “Match on Chip” et le protocole SDCP. Ce qui assure que les empreintes soient traitées en interne au capteur et que la communication avec le PC soit sécurisée. Pour l’anecdote, ne pas oublier de configurer au moins 2 empreintes de chaque main, ce qui peut être utile en cas de blessure à un doigt.

    Les solutions avec reconnaissance faciale utilisent une caméra avec infrarouge, ce qui permet de travailler dans des conditions d’éclairage mauvaises et empêche l’usurpation d’identité à partir d’une photo. Leur utilisation permet par exemple de déverrouiller un PC sans retirer ses lunettes, ce qui rend le système rapide et fluide.

    Solutions clé de sécurité ou badge

    Clé de sécurité

    Les clés de sécurité ou badge sont les solutions les plus robustes et les plus flexibles. Une clé de sécurité, type Yubikey, est un composant matériel que vous insérez dans un lecteur USB ou que vous connectez en NFC. Il s’agit d’une clé matérielle, au même titre que la clé de votre habitation, sans la clé vous ne pouvez pas vous connecter à votre PC. La même clé peut être utilisée pour plusieurs PC, et il existe une version bio-métrique de ces clés que vous pouvez déverrouiller avec vos empreintes digitales. Elle permettent de stocker des credentials et supportent de plus les protocoles FIDO2, U2F, Smart Card, OpenPGP ou OTP ce qui permet de les utiliser pour s’authentifier dans des applications ou sur le web en tant que facteur multiple.

    En résumé, pour vous affranchir du login avec mot de passe, vous avez 3 approches :

    • Code PIN ou schéma : efficace et rapide si vous utilisez votre PC à la maison.
    • Empreinte digitale ou reconnaissance faciale : efficace et rapide également en déplacement, n’ayant pas à exposer vos mots de passe ou votre code PIN aux regards indiscrets.
    • Clé de sécurité : robuste et portable d’un PC à un autre, de plus extensible aux authentifications MFA.

    Simplification et renforcement de la sécurité

    A l’emploi, les solutions sans mot de passe apportent une vraie simplification pour l’utilisateur. Il n’est plus nécessaire de se rappeler un mot de passe complexe, qu’il faudra changer une fois par mois ou par trimestre. De plus le temps de login s’en trouve réduit et l’expérience utilisateur beaucoup plus fluide.

    Les protocoles utilisés par chaque solution améliorent grandement la sécurité du login à un PC, s’appuyant sur des standards matériel et d’authentification qui rendent encore plus difficile à un hacker de contourner le login. Nous quittons ainsi le débat sur le temps pour craquer un mot de passe, pour entrer dans un environnement apportant une réelle simplification et une sécurité accrue.

    La tendance du marché va clairement dans la direction du login sans mot de passe, mais comme tout changement, cela prendra plusieurs années. Il faut en effet faire évoluer le matériel, leur configuration et les habitudes. Le changement d’habitudes étant le plus délicat, il suffit de se rappeler le débat pour passer au passeport bio-métrique et les peurs que cela a généré lors de sa mise en oeuvre.

    Prochainement

    Nous venons de voir comment le login sans mot de passe simplifie le login utilisateur et renforce la sécurité. Dans notre prochain article, nous allons présenter comment étendre l’authentification sans mot de passe à vos applications en local en en web, tout en renforçant la sécurité d’accès.

    Michel Sauty

    Rédigé par Michel Sauty

    Consultant Sénior IAM

    Découvrez nos services