Yahoo a une fois encore été frappé par une importante violation de données, avec 1 milliard de comptes utilisateurs qui auraient été affectés. La multinationale technologique sur le déclin a déclaré à tous les utilisateurs concernés qu’ils devaient modifier leurs mots de passe, non seulement pour leurs comptes Yahoo, mais aussi pour tous les autres comptes qu’ils utilisent en ligne.
Cependant, les méthodes d’authentification nouvelle génération pourraient bientôt remplacer le mot de passe conventionnel, donnant lieu à de nouvelles possibilités et dangers.
La dernière violation de sécurité de Yahoo est un problème grave pour le portail Internet et fournisseur de services de messagerie électronique, qui recherche actuellement un acheteur.
Pour les utilisateurs, c’est un énorme souci et un problème de sécurité potentiel. Mais cela a également rappelé à tous la vulnérabilité de l’authentification basée sur le mot de passe : surtout si nous sommes mauvais dans la gestion de ces derniers.
Les utilisateurs qui utilisent le même mot de passe pour plusieurs comptes, tels que leur compte de messagerie Yahoo et leur compte PayPal, pourraient être particulièrement vulnérables suite à ce piratage.
Plusieurs enquêtes ont révélé que les internautes utilisent souvent un seul mot de passe pour toutes leurs activités en ligne, ce qui les rend particulièrement vulnérables si un de leur compte est piraté.
En 2013, Ofcom a constaté que 55 % des adultes britanniques utilisaient le même mot de passe pour presque tous leurs comptes.
La société de sécurisation des comptes en ligne, Telesign, a constaté que près des trois quarts des utilisateurs aux États-Unis et au Royaume-Uni avaient réutilisé leurs mots de passe et, le plus souvent, ne les avaient pas modifiés pendant des années. En moyenne, seulement 6 mots de passe sont utilisés pour protéger 24 comptes en ligne.
Un nombre inquiétant d’internautes utilisent des mots de passe très simples. Ainsi, en 2014, parmi les cinq mots de passe les plus populaires, on pouvait trouver ‘password’ (mot de passe) et ‘12345’.
Il est également courant pour un individu d’utiliser sa date de naissance comme mot de passe. Les mots de passe faibles exposent également les utilisateurs à de plus grands risques de sécurité.
Une nouvelle solution en matière de sécurité
Nous savons donc que les utilisateurs réutilisent leurs mots de passe sur plusieurs comptes en ligne, et nous savons également que même les plus grandes entreprises de technologie peuvent être victimes de cybercrimes répétés.
Quelle est alors la solution pour surmonter ces déficiences ? Nous devrons partir du principe que les gens n’abandonneront pas de sitôt leurs mauvaises habitudes quant à la création de mot de passe. Heureusement, de nouvelles façons de gérer la sécurité pourraient signifier que nous n’avons plus besoin de mémoriser une multitude de mots de passe.
Les consommateurs s’attendent de plus en plus à avoir un accès immédiat et sans contrainte à ce qu’ils veulent. L’authentification basée sur le mot de passe peut s’opposer à cela.
Il a été démontré que la génération Y (ou la génération Internet), qui est la plus habituée à la connexion par mot de passe, fait partie des créateurs de mot de passe les moins sûrs.
Il semble que nous soyons sur le point de découvrir des méthodes d’identification légèrement futuristes offrant une alternative au mot de passe. Il existe plusieurs possibilités, y compris des méthodes d’identification biométrique telles que l’authentification par empreintes digitales, la reconnaissance vocale, faciale, ou même de l’iris.
L’utilisation généralisée des réseaux sociaux signifie également que le social login (« connexion sociale »), qui utilise les informations provenant des comptes des réseaux sociaux existants du client, est maintenant largement utilisé pour créer des comptes et y accéder.
Des entreprises, telles que Apple et certaines banques, utilisent déjà l’authentification dite « à deux facteurs » (également appelée « authentification multi-facteurs »).
Cela nécessite que l’utilisateur saisisse non seulement son nom d’utilisateur et son mot de passe, mais également une information supplémentaire qu’il est le seul à connaître.
Il pourrait s’agir d’un code envoyé à son numéro de téléphone enregistré via SMS ou pourrait impliquer l’utilisation d’un jeton matériel de banque. Il s’agit d’un petit appareil qui a l’apparence d’une calculatrice ou d’un bipeur et qui génère un code unique lorsqu’il souhaite se connecter en ligne.
Grâce à l’authentification multifactorielle les utilisateurs fournissent des informations connues d’eux seuls. Il peut s’agir d’informations personnelles telles que le nom de leur premier animal de compagnie ou le nom de la rue dans laquelle ils vivaient lorsqu’ils étaient enfants (informations que les hackers pourraient ne pas connaître), leur demander d’utiliser un élément tel qu’un code à usage unique générant un jeton électronique ou encore utiliser ce qu’on appelle un « facteur inhérent » telle qu’une information biométrique.
Ce dernier est de plus en plus facile à utiliser car la technologie a atteint un stade tel qu’un téléphone portable peut aisément mémoriser une empreinte digitale.
Ces méthodes d’authentification plus récentes ont chacune leurs propres faiblesses et dangers. Il est facile d’égarer un petit jeton électronique, et certains clients ne sont pas habitués à ces technologies.
Il est peu probable que les utilisateurs acceptent d’avoir un jeton distinct pour tous leurs appareils – cela va à l’encontre de l’idée d’une accessibilité constante à un compte en ligne si vous devez toujours transporter des accessoires avec vous pour pouvoir y accéder.
La généralisation du téléphone mobile peut être exploitée pour servir de dispositif d’authentification. Il est rare que les clients s’en séparent très longtemps.
Par contre, en cas de perte du téléphone, c’est un obstacle supplémentaire à la récupération du compte, ce qui rend cette procédure beaucoup plus complexe que la méthode actuelle d’envoi d’un rappel de mot de passe.
Une méthode plus personnalisée d’accès au compte
Ces nouvelles méthodes d’authentification offrent également des avantages par rapport aux anciennes méthodes, et cela vaut à la fois pour le titulaire du compte et pour l’entreprise elle-même.
Encourager les utilisateurs à opter pour le social login donne à votre entreprise accès à plus d’informations – potentiellement jusqu’à 200 points de données supplémentaires. Peut-être plus important encore, vous pouvez être beaucoup plus confiant en ce qui concerne les données que vous détenez.
Les utilisateurs admettent fréquemment qu’ils falsifient des données lorsqu’ils remplissent les formulaires d’inscription en ligne.
L’utilisation du social login signifie que vous êtes beaucoup plus susceptibles de recevoir des données utilisateurs authentiques. Bien sûr, les utilisateurs sont également conscients de cela et ils peuvent être réticents à l’idée de s’inscrire s’ils se sentent obligés de vous donner accès à toutes leurs données sociales pour le faire.
Insister sur le social login peut dissuader les internautes de créer un compte avec vous, sauf si vous leur offrez la garantie que vous n’abuserez pas de leurs données. C’est une décision que votre marque devra prendre, peser le pour et le contre.
Un autre avantage de l’utilisation des méthodes d’authentification les plus récentes, y compris le social login, est qu’elles sont plus personnalisées pour l’utilisateur et potentiellement plus faciles.
Plutôt que de laisser les utilisateurs remplir tous leurs détails lors de l’inscription, le social login leur permet simplement de les partager à partir d’autres comptes.
L’utilisation de données biométriques est censée être acceptée par les utilisateurs comme plus sécurisée que la connexion par mot de passe traditionnel, ce qui signifie qu’ils peuvent également se sentir plus sereins.
Si votre entreprise dépend toujours d’une authentification basée sur le mot de passe, il serait peut-être temps de vous remettre au goût du jour.
Les nouvelles méthodes d’authentification apportent de nouveaux défis et dangers, mais elles pourraient peu à peu se généraliser. Avec les grandes marques, telles que Yahoo, qui se débattent contre la cybercriminalité, il est important de rester à la pointe en matière de sécurité. S’adapter aux différents changements que connaît l’authentification est une façon de le faire.
