Nous entendons souvent parler de situations de « databreach » (ou brêche de données), c’est-à-dire de violations de données au sein d’entreprises causées par le piratage d’informations sensibles sur les utilisateurs. Pour le secteur B2B, la principale préoccupation est de sécuriser les données des utilisateurs, notamment les données personnelles et de connexion, y compris les mots de passe. De nouveaux mécanismes d’authentification, tels que l’authentification à deux facteurs (2FA) et l’utilisation d’API de connexion de tiers, ont été créés il y a quelques années.

Les mots de passe faibles (azerty, 123456…) utilisés sur plusieurs sites sont à la base du problème.

Il suffit de lire régulièrement la presse spécialisée, voire l’actualité générale, pour constater qu’il existe des cas de piratage à grande échelle qui sont publiquement disponibles sur le dark web. Par conséquent, il est facile de récupérer ces informations et de tenter de pénétrer sur de nombreux autres sites web.

En effet, une grande partie des internautes utilisent les mêmes identifiants d’accès sur de nombreuses plateformes. La difficulté ici est de reconnaître l’importance de protéger les données de ses utilisateurs / clients.

Par conséquent, nous analyserons les principales stratégies visant à améliorer l’authentification des utilisateurs. Nous chercherons à savoir si des stratégies sont employées par les entreprises pour renforcer le processus d’authentification, tant lors de la création d’un compte que lors des transactions. Nous étudierons trois techniques en profondeur : le mot de passe dit « sûr », les systèmes de type API de connexion via un tiers comme Facebook Connect, et la double authentification.

Comment protéger les utilisateurs grâce à une authentification sécurisée ?

Le mot de passe qualifié de fiable ou sécurisé

Qu’est-ce qu’un mot de passe fiable et sécurisé ? Un mot de passe hautement sécurisé doit répondre à trois critères : il doit être difficile à deviner (décrire les critères), l’utilisateur doit le mettre à jour régulièrement (c’est-à-dire que les entreprises doivent obliger l’utilisateur à le changer régulièrement), et surtout, la procédure de renouvellement du mot de passe, en cas d’oubli, doit être sécurisée, avec une question secrète et un lien d’expiration limité dans le temps.

Un mot de passe sûr est défini comme suit :

  • doit comporter au moins 12 caractères, avec une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux
  • doit être mis à jour au moins tous les 6 mois
  • doit pouvoir être répliqué de manière sûre grâce à un système de questions secrètes, avec un lien d’expiration de 24 heures.

Un autre dilemme qui en découle est de savoir s’il est suffisant d’utiliser un mot de passe sûr de nos jours. Près de six personnes sur dix utilisent le même mot de passe pour tous leurs comptes, et 5 professionnels sur 10 admettent utiliser le même mot de passe pour leurs comptes professionnels et personnels, la principale raison étant la peur de l’oublier. Même si vos utilisateurs fournissent un mot de passe sûr, il existe un risque considérable qu’ils utilisent le même ailleurs, ce qui vous laisse peu d’assurance que le compte n’a pas été piraté ou utilisé par quelqu’un d’autre.

Utiliser une API de connexion tierce pour garantir l’authentification de vos utilisateurs

Il est toujours possible d’utiliser des API de connexion tierces, telles que Facebook Connect ou Google Sign-In, ainsi que « Sign in with Apple », « Sign in with Twitter », etc.

Cependant, le problème reste le même : il n’y a aucune garantie que les données fournies par ce tiers seront exactes, étant donné que Google et Facebook ont des millions de faux utilisateurs ou de comptes non authentifiés dans leurs bases de données. De plus, les consommateurs cherchent à différencier leur vie privée de leur vie dite « sociale » et ils sont de plus en plus conscients de l’importance des GAFAM dans leur vie quotidienne. Si vous utilisez exclusivement ces modules pour l’authentification des utilisateurs, cela peut constituer un obstacle à la conversion.

La difficulté majeure pour les entreprises est de trouver le bon équilibre entre une expérience client positive et une sécurité optimale. L’authentification forte, à travers l’authentification à 2 facteurs, offre une approche conviviale dans ce cas.

L’usage du 2FA qui signifie authentification forte à deux facteurs

Au moins trois conditions doivent être validées pour mettre en place une authentification forte 2FA : un identifiant (login), un code d’accès (mot de passe), un appareil que je possède (smartphone, téléphone fixe…), et parfois une information unique nous concernant (une empreinte biométrique).

C’est là que la technologie 2FA intervient, proposant une option compatible avec cette méthode d’authentification robuste. Nous allons donc passer en revue ce qu’est le 2FA, comment il fonctionne et comment le configurer.

Voici une définition du principe de la double authentification, parfois appelée 2FA pour two factor authentication : C’est un mécanisme d’authentification en deux étapes qui permet à un utilisateur d’accéder à une ressource informatique (un ordinateur, un smartphone ou un site web) après avoir fourni deux preuves d’identification uniques.

Il existe de nombreux types de 2FA, mais le plus répandu aujourd’hui est le mot de passe de l’utilisateur couplé à une vérification via son smartphone, par SMS ou appel vocal. Ainsi, la connexion à un service nécessitera 2 étapes distinctes :

  • l’accès avec l’identifiant et le mot de passe ;
  • la validation de l’accès grâce à l’appareil que vous possédez, sur lequel vous recevez un code à usage unique ;

Voilà, vous savez pourquoi l’authentification forte à deux facteurs est devenu le nouveau standard en matière de sécurité informatique aujourd’hui.