Apprendre de l’expérience : 5 facteurs critiques de succès pour les projets sans mot de passe CIAM

Le passage à l’authentification client sans mot de passe doit être considéré avec soin. Les avantages du sans mot de passe sont clairs. Sans mot de passe bien fait améliore à la fois la sécurité et l’expérience client (CX). Cependant, comme toute modification apportée à un système d’authentification, de nombreux facteurs existent qui conduisent au succès ou à l’échec d’une transition vers une authentification sans mot de passe.

Où les projets sans mot de passe tournent mal

En tant que fournisseur leader d’authentification sans mot de passe, un composant essentiel de la gestion de l’identité et de l’accès des clients (CIAM), nous avons travaillé avec de nombreuses entreprises parmi les plus exigeantes de la planète, de Citi à MassMutual en passant par Lowes. Nous avons également travaillé avec de nombreuses petites entreprises et organisations à travers le monde. Parfois, nous sommes amenés après qu’une tentative d’authentification sans mot de passe ait échoué ou échoué. Et avec nos déploiements plus importants, nous voyons un peu de tout.

D’après notre expérience, cinq facteurs ou décisions sont les plus susceptibles de mener au succès ou à l’échec d’un projet sans mot de passe.

1. Compétences et capacités des développeurs

Le CIAM est une spécialité. La plupart des développeurs IAM connaissent les solutions et les cas d’utilisation de gestion des identités et des accès centrés sur la main-d’œuvre. Plutôt que de développer des logiciels IAM, ils s’y intègrent le plus souvent.

Ces cas d’utilisation de la main-d’œuvre sont fondamentalement différents de ceux du CIAM à bien des égards. Ceux-ci incluent le nombre d’utilisateurs (employés vs consommateurs) et le nombre et les types d’applications qui doivent être intégrées (applications pour le travail vs applications numériques et sites pour les clients).

Même ainsi, les développeurs sont souvent tentés de créer leur propre solution CIAM ou d’étendre leurs outils IAM existants pour répondre aux cas d’utilisation des clients. Cela s’explique en partie par le fait que beaucoup développent souvent leurs propres applications et sites Web clients et, par conséquent, s’attendent à développer également l’infrastructure et les fonctionnalités d’identité du client.

De nombreuses plates-formes incluent des fonctionnalités et des capacités de gestion des identités. La réalité, cependant, est que peu de développeurs ont les compétences pour la gestion des identités et des accès, manquant d’une connaissance pratique des protocoles de sécurité tels que 0Auth, OIDC, WebAuthn et plus encore.

De nombreux développeurs ne souhaitent pas travailler sur des fonctionnalités liées à l’identité telles que l’authentification ; ce n’est pas pourquoi ils sont devenus développeurs. Vos équipes peuvent ne pas comprendre les réglementations en matière de confidentialité et de sécurité qui ont un impact sur votre solution d’identité client. Par conséquent, le choix d’acheter ou de créer votre propre solution CIAM, y compris l’authentification sans mot de passe, doit être soigneusement réfléchi. Selon les principaux analystes, les outils de gestion des accès (AM) fournis par SaaS sont de loin le moyen préféré pour la plupart des clients de consommer leurs services AM.

2. Comprendre les scénarios d’authentification client

Votre solution CIAM doit répondre à une grande variété de scénarios clients. Ceux-ci incluent les nombreux « chemins heureux » et « chemins malheureux » associés à l’authentification et à l’accès. De nombreux développeurs se concentrent sur des chemins heureux, qui sont ces scénarios où les utilisateurs prennent les mesures nécessaires pour arriver à leur destination prévue.

Cependant, de nombreux utilisateurs empruntent des chemins malheureux, ce qui entraîne des routines d’erreur qui frustrent souvent les clients. Avec CIAM, ces chemins malheureux incluent les échecs de connexion, les mots de passe oubliés et même les menaces à la confidentialité et à la sécurité telles que les connexions frauduleuses et les attaques de prise de contrôle de compte (ATO). Les développeurs doivent comprendre et prendre en compte les chemins heureux et malheureux.

Sans une solution complète qui traite tous les flux et scénarios d’utilisateurs, l’absence de mot de passe peut compliquer la gestion de l’expérience utilisateur. Par exemple, si la technologie sans mot de passe de votre choix est basée sur la norme FIDO (Fast Identity Online), l’expérience de vos utilisateurs dépendra des appareils qu’ils utilisent pour se connecter. Alors que la plupart des téléphones mobiles modernes prennent en charge FIDO, de nombreux ordinateurs portables et PC ne le font pas. . Comment gérez-vous tous les scénarios et combinaisons d’appareils ?

S’il est fait correctement, cependant, le sans mot de passe peut réduire considérablement les échecs de connexion, les informations d’identification oubliées et les prises de contrôle de compte. Assurez-vous de répondre à tous les scénarios, parcours et flux des clients en choisissant des fournisseurs ou des partenaires qui peuvent vous aider à naviguer dans cette complexité.

3. Choix de la technologie sans mot de passe

De toute évidence, la mauvaise technologie se traduira par de mauvais résultats. Avec l’authentification sans mot de passe, de nombreuses solutions reposent sur les standards FIDO (WebAuthn, CTAP, etc.). C’est une bonne chose, car ces normes sont soutenues par de nombreuses entreprises leaders dans le monde, notamment Apple, Google, Microsoft, Mastercard, Visa, Wells Fargo, Bank of America, ING et Transmit Security.

Les normes FIDO sont également prises en charge par la plupart des appareils modernes, offrant dans de nombreux cas des capacités d’authentification biométrique. Cependant, de nombreuses autres solutions sans mot de passe utilisent simplement des SMS OTP ou des codes d’accès à durée limitée (TOTP) pour l’authentification. Celles-ci ne sont pas aussi sécurisées que les méthodes véritablement sans mot de passe basées sur FIDO, car elles sont vulnérables aux attaques de l’homme du milieu d’une manière que FIDO ne l’est pas.

Enfin, de nombreuses prétendues solutions sans mot de passe reposent encore sur des mots de passe pour de nombreuses parties de votre parcours client, que ce soit lors de l’inscription, de la récupération de compte, après la perte ou le vol d’un appareil ou à d’autres moments. Ces solutions qui cachent les mots de passe dans l’ombre compromettent de nombreux avantages de l’authentification sans mot de passe basée sur FIDO, notamment la force de la sécurité, la fluidité de l’expérience utilisateur et la simplicité architecturale.

4. Extension des solutions IAM existantes

Les solutions IAM ont été conçues pour des cas d’utilisation centrés sur la main-d’œuvre, elles sont donc mal adaptées aux cas d’utilisation CIAM. L’IAM centrée sur le client et la main-d’œuvre diffèrent considérablement dans tout, depuis la nature et le nombre d’utilisateurs, les appareils qu’ils utilisent, les canaux par lesquels vous les atteignez et les exigences en matière de confidentialité et de sécurité.

De nombreux fournisseurs axés sur la main-d’œuvre ont élargi leurs portefeuilles pour inclure des produits ou des fonctionnalités CIAM. Cependant, le résultat est une solution complexe et difficile à mettre en œuvre car elle est appliquée à un cas d’utilisation pour lequel elle n’a jamais été conçue. CIAM doit être une solution spécialement conçue pour répondre aux besoins des clients.

5. Objectifs et métriques du projet

Alors que de nombreux projets échouent en raison d’objectifs trop agressifs ou irréalistes, les projets sans mot de passe manquent souvent de l’ambition nécessaire. En particulier, de nombreux responsables de l’identité et leurs homologues commerciaux fixent des objectifs très bas pour la transition de leurs clients vers l’authentification sans mot de passe. Un objectif de 5 à 10 % la première année n’est pas rare.

Ces faibles cibles ne sont pas fondées sur des faits. Les consommateurs se sont habitués à utiliser la biométrie sur leurs appareils mobiles pour se connecter à des appareils, des applications et des sites Web. De nombreuses entreprises, comme Google et Amazon et la plupart des grandes banques, ont déjà commencé à Mandater ou automatiquement « opt-in » les clients à l’authentification multifacteur à l’aide de mots de passe SMS à usage unique ou de technologies push-to-authenticate. Pourquoi l’authentification sans mot de passe devrait-elle être différente ?

De plus, l’utilisation de mots de passe présente des risques pour les clients, les bénéfices de l’entreprise et l’image de marque, dépassant de loin l’impact temporaire du changement. Lorsqu’il est bien fait, le sans mot de passe est à la fois plus facile à utiliser et plus sûr – des avantages qui justifient une approche agressive de l’adoption du sans mot de passe.

Implémentation sans mot de passe de la bonne manière

L’authentification sans mot de passe promet une meilleure expérience utilisateur et une meilleure sécurité à une entreprise et à ses clients ; cependant, un projet d’authentification sans mot de passe doit être fait de la bonne façon pour réussir. Choisir la mauvaise solution ou ne pas fixer d’objectifs réalistes peut faire la différence entre un projet réussi et un projet raté.

Laissez Transmit Security vous montrer ce que cela signifie d’être vraiment sans mot de passe avec BindID.